Η δραστηριότητα botnet κακόβουλου λογισμικού Mozi εξαφανίστηκε τον Αύγουστο, αφού ένα μυστηριώδες άγνωστο μέρος έστειλε ένα ωφέλιμο φορτίο στις 27 Σεπτεμβρίου 2023, το οποίο ενεργοποίησε έναν διακόπτη kill για την απενεργοποίηση όλων των ρομπότ.
Το Mozi είναι ένα γνωστό botnet κακόβουλου λογισμικού
DDoS
(κατανεμημένης άρνησης υπηρεσίας) που εμφανίστηκε το 2019, στοχεύοντας κυρίως
συσκευές
IoT όπως δρομολογητές, ψηφιακές συσκευές εγγραφής βίντεο και άλλα
gadget
που συνδέονται στο διαδίκτυο.
Το κακόβουλο λογισμικό αξιοποίησε γνωστές ευπάθειες ή αδύναμους προεπιλεγμένους κωδικούς πρόσβασης για να παραβιάσει συσκευές και να τις κάνει μέρος του αποκεντρωμένου δικτύου peer-to-peer, όπου επικοινωνούν χρησιμοποιώντας το πρωτόκολλο DHT (κατανεμημένος πίνακας κατακερματισμού) του BitTorrent.
Ο Μόζι σκοτώθηκε μυστηριωδώς
Σήμερα,
ανέφερε η ESET
ότι τα δεδομένα τηλεμετρίας της έδειξαν απότομη πτώση στη δραστηριότητα του Mozi στις 8 Αυγούστου 2023, ξεκινώντας με τη διακοπή όλων των εργασιών στην Ινδία.
Ακολούθησε ένας παρόμοιος ξαφνικός τερματισμός δραστηριοτήτων στην Κίνα, όπου προέρχεται το botnet, στις 16 Αυγούστου 2023.
Παρατηρήθηκε δραστηριότητα Mozi
(
ESET
)
Τελικά, στις 27 Σεπτεμβρίου 2023, εστάλη ένα μήνυμα UDP σε όλα τα bot Mozi οκτώ φορές που τους καθοδηγούσε να κατεβάσουν μια
ενημέρωση
μέσω HTTP, η οποία προκάλεσε τα εξής:
- Τερματισμός της διαδικασίας κακόβουλου λογισμικού Mozi,
- Απενεργοποίηση ορισμένων υπηρεσιών συστήματος (sshd και dropbear),
- Αντικατάσταση του αρχείου Mozi,
- Εκτέλεση εντολών διαμόρφωσης συσκευής,
- Αποκλεισμός πρόσβασης σε διάφορες θύρες,
- Δημιουργήστε μια βάση για το νέο αρχείο.
Το γεγονός ότι όποιος πάτησε τον διακόπτη kill επέλεξε να διατηρήσει την επιμονή για το νέο ωφέλιμο φορτίο, το οποίο μπορεί επίσης να κάνει ping σε έναν απομακρυσμένο διακομιστή για να βοηθήσει στην παρακολούθηση, συνεπάγεται ελεγχόμενη κατάργηση.
Η ανάλυση κώδικα της ESET έδειξε ισχυρές ομοιότητες μεταξύ του αρχικού κώδικα Mozi και των δυαδικών αρχείων που χρησιμοποιήθηκαν στην κατάργηση, τα οποία περιείχαν τα σωστά ιδιωτικά κλειδιά για την υπογραφή του ωφέλιμου φορτίου.
Αρχικός κωδικός Mozi (αριστερά) και ωφέλιμο φορτίο διακόπτη kill (δεξιά)
(ESET)
Αυτό υποδηλώνει τη συμμετοχή είτε των αρχικών δημιουργών botnet είτε/και των κινεζικών αρχών επιβολής του νόμου στην κατάργηση, αλλά προς το παρόν αυτό παραμένει αναπάντητο.
Παρά τα καλά νέα ότι ένα από τα πιο παραγωγικά botnet είναι εκτός σύνδεσης, υπάρχουν, δυστυχώς, πολλά περισσότερα botnet κακόβουλου λογισμικού DDoS που σαρώνουν τον ιστό καθημερινά για ευάλωτα IoT.
Επομένως, οι χρήστες θα πρέπει να επιδιορθώνουν τις συσκευές τους χρησιμοποιώντας την πιο πρόσφατη έκδοση υλικολογισμικού, να χρησιμοποιούν ισχυρούς κωδικούς πρόσβασης και να τις απομονώνουν από κρίσιμα δίκτυα.
VIA:
bleepingcomputer.com