Активность вредоносной бот-сети Mozi исчезла в августе после того, как неизвестная таинственная сторона отправила полезную нагрузку, которая привела в действие переключатель "kill switch" для отключения всех ботов 27 сентября 2023 года.
Mozi - известная бот-сеть с распределенным отказом в обслуживании (DDoS), появившаяся в 2019 году и нацеленная в основном на IoT-устройства, такие как маршрутизаторы, цифровые видеорегистраторы и другие подключенные к Интернету устройства.
Вредоносная программа использует известные уязвимости или слабые пароли по умолчанию для компрометации устройств и превращения их в часть децентрализованной одноранговой сети BitTorrent, где они взаимодействуют по протоколу DHT (распределенная хэш-таблица).
Mozi был загадочно уничтожен
Сегодня компания ESET сообщила, что данные телеметрии свидетельствуют о резком снижении активности Mozi, начиная с прекращения активности в Индии 8 августа 2023 года.
За этим последовало столь же резкое прекращение активности в Китае, где располагалась бот-сеть, 16 августа 2023 года.
Наконец, 27 сентября 2023 года всем ботам Mozi восемь раз было отправлено UDP-сообщение с предложением загрузить обновление по протоколу HTTP, что привело к следующему:
- Завершение работы вредоносного процесса Mozi,
- Отключение некоторых системных служб (sshd и dropbear),
- Замена файла Mozi,
- Выполнение команд конфигурации устройства,
- Блокирование доступа к различным портам,
- Создание плацдарма для нового файла.
Тот факт, что тот, кто нажал на кнопку kill switch, решил сохранить постоянство новой полезной нагрузки, которая также может пинговать удаленный сервер для помощи в отслеживании, говорит о контролируемом уничтожении.
Анализ кода, проведенный ESET, показал сильное сходство между оригинальным кодом Mozi и двоичными файлами, использованными при уничтожении, в которых были указаны правильные закрытые ключи для подписи полезной нагрузки.
Это намекает на причастность к уничтожению ботнета его первоначальных создателей и/или китайских правоохранительных органов, но пока этот вопрос остается без ответа.
Несмотря на хорошую новость о том, что одна из самых плодовитых бот-сетей ушла в офлайн, к сожалению, существует еще множество бот-сетей, ежедневно сканирующих Интернет в поисках уязвимых IoT-устройств для DDoS-вредителей.
Поэтому пользователям следует патчить свои устройства, используя последнюю версию прошивки, использовать надежные пароли и изолировать их от критически важных сетей.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!