Výskumníci spoločnosti ESET nedávno zaznamenali náhly zánik jedného z najvýkonnejších botnetov internetu vecí (IoT) s názvom Mozi, ktorý sa neslávne preslávil zneužívaním zraniteľností v stovkách tisíc IoT zariadení ročne.
Protokol UDP (User Datagram Protocol) zaznamenal neočakávaný pokles aktivity, ktorý sa začal v Indii a o týždeň neskôr bol pozorovaný aj v Číne. Zmenu spôsobila aktualizácia botov Mozi, ktorá ich zbavila funkčnosti. Niekoľko týždňov po týchto udalostiach sa výskumníkom spoločnosti ESET podarilo identifikovať a analyzovať vypínač, tzv. „kill switch“, ktorý spôsobil zánik Mozi.
„Zánik jedného z najvýkonnejších IoT botnetov je fascinujúcim prípadom kybernetickej forenznej analýzy, ktorá nám poskytuje zaujímavé technické informácie o tom, ako sa takéto botnety v reálnom prostredí vytvárajú, prevádzkujú a likvidujú,“ hovorí výskumník spoločnosti ESET Ivan Bešina, ktorý skúmal zmiznutie botnetu Mozi.
Výskumníci spoločnosti ESET 27. septembra 2023 zachytili konfiguračný súbor v UDP správe, čo je pre Mozi botnet neštandardný komunikačný protokol. Aktualizácia fungovala ako vypínač zodpovedný za prudký prepad aktivity Mozi. Tento vypínač tiež zastavil hlavný proces, teda pôvodný malvér Mozi, nahradil pôvodný súbor sebou samým, vypol niektoré systémové služby (sshd, dropbear), čiastočne upravil nastavenia routera/zariadenia a zablokoval prístup k vybraným portom.
Napriek drastickému zníženiu funkčnosti si boty Mozi zachovali svoju prítomnosť, čo naznačuje, že ide o zámerné a premyslené odstránenie. Analýza vypínača spoločnosťou ESET ukázala silné prepojenie medzi pôvodným zdrojovým kódom botnetu a nedávno použitými riadiacimi komponentmi, ktoré boli podpísané správnymi súkromnými kľúčmi.
„Existujú dvaja potenciálni iniciátori tohto odstránenia: pôvodný tvorca botnetu Mozi alebo čínske orgány činné v trestnom konaní, ktoré možno získali alebo prinútili k spolupráci pôvodného aktéra alebo aktérov. Postupné zacielenie na Indiu a potom na Čínu naznačuje, že zásah bol vykonaný úmyselne, pričom najprv bola cieľom jedna krajina a o týždeň neskôr druhá,“ vysvetľuje Bešina.
Viac technických informácií nájdete v našom špeciálnom blogu na stránke WeLiveSecurity. Najnovšie odhalenia našich výskumníkov nájdete na Twitteri (aktuálne X) ESET research.