Οι ερευνητές ασφαλείας παρατήρησαν «σκόπιμη» κατάργηση του διαβόητου botnet Mozi

Οι ερευνητές ασφαλείας λένε ότι παρατήρησαν αυτό που πιστεύουν ότι είναι μια κατάργηση του διαβόητου botnet Mozi που διείσδυσε σε περισσότερες από ένα εκατομμύριο συσκευές Internet of Things παγκοσμίως.

Σε έρευνα που κοινοποιήθηκε στο TechCrunch πριν από τη δημοσίευση την Τρίτη, ερευνητές της εταιρείας

κυβερνοασφάλεια

ς ESET αναφέρουν ότι είδαν τον «ξαφνικό θάνατο» του Mozi κατά τη διάρκεια μιας έρευνας για το botnet.

Το Mozi είναι ένα peer-to-peer Internet of Things botnet που εκμεταλλεύεται αδύναμους κωδικούς πρόσβασης telnet και γνωστές εκμεταλλεύσεις για να κλέβει οικιακούς δρομολογητές και ψηφιακές συσκευές εγγραφής βίντεο. Το botnet, το οποίο ανακαλύφθηκε για πρώτη φορά το 2019 από το 360 Netlab, χρησιμοποιεί μάζες από αυτές τις συσκευές που έχουν παραβιαστεί για την εκτόξευση επιθέσεων

DDoS

, την εκτέλεση ωφέλιμου φορτίου και την εξαγωγή δεδομένων. Η Mozi έχει μολύνει περισσότερες από 1,5 εκατομμύριο συσκευές από το 2019, με την πλειονότητα – τουλάχιστον 830.000 συσκευές – να προέρχεται από την Κίνα.

Η Microsoft

προειδοποίησε τον Αύγουστο του 2021 ότι το Mozi είχε εξελιχθεί για να επιτύχει σταθερότητα στις πύλες δικτύου που κατασκευάζονται από τις Netgear,

Huawei

και ZTE, προσαρμόζοντας τους μηχανισμούς εμμονής της. Τον ίδιο μήνα, 360 Netlab

ανακοινώθηκε

ότι είχε βοηθήσει σε μια κινεζική επιχείρηση επιβολής του νόμου για τη σύλληψη των συντακτών του Mozi.

Η ESET, η οποία ξεκίνησε έρευνα για τη Mozi έναν μήνα πριν από αυτές τις συλλήψεις, είπε ότι παρατήρησε μια δραματική πτώση στη δραστηριότητα της Mozi τον Αύγουστο του τρέχοντος έτους.

Ο Ivan Bešina, ανώτερος ερευνητής κακόβουλου λογισμικού στην ESET, λέει στο TechCrunch ότι η εταιρεία παρακολουθούσε περίπου 1.200 μοναδικές συσκευές καθημερινά σε όλο τον κόσμο πριν από αυτό. «Είδαμε 200.000 μοναδικές συσκευές το πρώτο εξάμηνο του τρέχοντος έτους και 40.000 μοναδικές συσκευές τον Ιούλιο του 2023», δήλωσε ο Bešina. «Μετά την πτώση, το εργαλείο παρακολούθησης μας ήταν σε θέση να ανιχνεύει μόνο περίπου 100 μοναδικές συσκευές καθημερινά».

Αυτή η πτώση παρατηρήθηκε πρώτα στην Ινδία και ακολούθησε η Κίνα – η οποία μαζί αντιπροσωπεύει το 90% όλων των μολυσμένων συσκευών παγκοσμίως – λέει ο Bešina στο TechCrunch, προσθέτοντας ότι η Ρωσία είναι η τρίτη πιο μολυσμένη χώρα, ακολουθούμενη από την Ταϊλάνδη και τη Νότια Κορέα.

Η πτώση της δραστηριότητας προκλήθηκε από μια ενημέρωση σε bot Mozi – συσκευές που είχαν μολυνθεί από κακόβουλο λογισμικό Mozi – που τους αφαίρεσε τη λειτουργικότητά τους, σύμφωνα με την ESET, η οποία είπε ότι ήταν σε θέση να εντοπίσει και να αναλύσει τον διακόπτη kill που προκάλεσε τον θάνατο του Mozi. Αυτός ο διακόπτης kill σταμάτησε και αντικατέστησε το κακόβουλο λογισμικό Mozi, απενεργοποίησε ορισμένες

υπηρεσίες

συστήματος, εκτέλεσε ορισμένες εντολές διαμόρφωσης δρομολογητή και συσκευής και απενεργοποίησε την πρόσβαση σε διάφορες θύρες.

Η ESET λέει ότι η ανάλυσή της για τον διακόπτη kill, ο οποίος έδειξε μια ισχυρή σύνδεση μεταξύ του αρχικού πηγαίο κώδικα του botnet και των δυαδικών αρχείων που χρησιμοποιήθηκαν πρόσφατα, υποδεικνύει μια «σκόπιμη και υπολογισμένη κατάργηση». Οι ερευνητές λένε ότι αυτό υποδηλώνει ότι η κατάργηση πιθανότατα πραγματοποιήθηκε από τον αρχικό δημιουργό του botnet Mozi ή από την κινεζική αρχή επιβολής του νόμου, ίσως επιστρατεύοντας ή αναγκάζοντας τη συνεργασία των χειριστών botnet.

«Το μεγαλύτερο αποδεικτικό στοιχείο είναι ότι αυτή η ενημέρωση διακόπτη kill υπογράφηκε με το σωστό ιδιωτικό κλειδί. Χωρίς αυτό, οι μολυσμένες συσκευές δεν θα αποδέχονταν και δεν θα εφάρμοζαν αυτήν την ενημέρωση», δήλωσε ο Bešina στο TechCrunch. «Από όσο γνωρίζουμε μόνο οι αρχικοί χειριστές Mozi είχαν πρόσβαση σε αυτό το ιδιωτικό κλειδί υπογραφής. Το μόνο άλλο μέρος που θα μπορούσε εύλογα να αποκτήσει αυτό το ιδιωτικό κλειδί υπογραφής είναι η κινεζική υπηρεσία επιβολής του νόμου που συνέλαβε τους χειριστές Mozi τον Ιούλιο του 2021».

Ο Bešina πρόσθεσε ότι η ανάλυση της ESET για τις ενημερώσεις του διακόπτη kill έδειξε ότι πρέπει να έχει μεταγλωττιστεί από τον ίδιο βασικό πηγαίο κώδικα. «Η νέα ενημέρωση kill switch είναι απλώς μια «απογυμνωμένη» έκδοση του αρχικού Mozi», είπε ο Bešina.

Η προφανής κατάργηση του Mozi έρχεται εβδομάδες αφότου το FBI κατέλυσε και εξάρθρωσε το διαβόητο botnet Qakbot, ένα τραπεζικό trojan που έγινε διαβόητο επειδή παρείχε μια αρχική βάση στο δίκτυο ενός θύματος για άλλους χάκερ για να αγοράσουν πρόσβαση και να παραδώσουν το δικό τους κακόβουλο λογισμικό.