Güvenlik araştırmacıları, dünya çapında bir milyondan fazla Nesnelerin İnterneti cihazına sızan kötü şöhretli Mozi botnet’inin ortadan kaldırıldığına inandıkları şeyi gözlemlediklerini söylüyor.
Salı günü yayınlanmadan önce TechCrunch ile paylaşılan araştırmada, siber güvenlik şirketi ESET’teki araştırmacılar, botnet’e yönelik bir soruşturma sırasında Mozi’nin “ani ölümüne” tanık olduklarını söylüyor.
Mozi, evdeki yönlendiricileri ve dijital video kaydedicileri ele geçirmek için zayıf telnet şifrelerinden ve bilinen açıklardan yararlanan, eşler arası bir Nesnelerin İnterneti botnet’idir. İlk olarak 2019 yılında 360 Netlab tarafından keşfedilen botnet, ele geçirilen bu cihazların büyük bir kısmını DDoS saldırıları, yük yürütme ve veri sızıntısı başlatmak için kullanıyor. Mozi, 2019’dan bu yana 1,5 milyondan fazla cihaza bulaştı ve çoğunluğu (en az 830.000 cihaz) Çin menşeli.
Microsoft, Ağustos 2021’de Mozi’nin, Netgear, Huawei ve ZTE tarafından üretilen ağ geçitlerinde kalıcılık mekanizmalarını uyarlayarak kalıcılık elde edecek şekilde geliştiği konusunda uyardı. Aynı ay, 360 Netlab duyuruldu Mozi’nin yazarlarının tutuklanması için Çin kolluk kuvvetlerinin operasyonuna yardım ettiğini söyledi.
Bu tutuklamalardan bir ay önce Mozi hakkında soruşturma başlatan ESET, bu yılın ağustos ayında Mozi’nin faaliyetlerinde dramatik bir düşüş gözlemlediğini söyledi.
ESET’in kıdemli kötü amaçlı yazılım araştırmacısı Ivan Bešina, TechCrunch’a şirketin bundan önce dünya çapında günde yaklaşık 1.200 benzersiz cihazı izlediğini söyledi. Bešina, “Bu yılın ilk yarısında 200.000, Temmuz 2023’te ise 40.000 benzersiz cihaz gördük” dedi. “Düşüşün ardından izleme aracımız günde yalnızca yaklaşık 100 benzersiz cihazı inceleyebildi.”
TechCrunch’a konuşan Bešina, bu düşüşün ilk olarak Hindistan’da görüldüğünü ve onu Çin’in takip ettiğini (toplamda dünya çapında virüs bulaşmış cihazların %90’ını oluşturduğunu) belirterek, Rusya’nın en çok virüs bulaşan üçüncü ülke olduğunu, ardından Tayland ve Güney Kore’nin geldiğini ekledi.
ESET’e göre, faaliyetlerdeki düşüş, Mozi botlarının (Mozi kötü amaçlı yazılımının bulaştığı cihazlar) işlevselliğini ortadan kaldıran bir güncellemeden kaynaklandı ve ESET, Mozi’nin ölümüne neden olan kapatma anahtarını tanımlayıp analiz edebildiğini söyledi. Bu öldürme anahtarı, Mozi kötü amaçlı yazılımını durdurdu ve değiştirdi, bazı sistem hizmetlerini devre dışı bıraktı, belirli yönlendirici ve cihaz yapılandırma komutlarını yürüttü ve çeşitli bağlantı noktalarına erişimi devre dışı bıraktı.
ESET, botnet’in orijinal kaynak kodu ile yakın zamanda kullanılan ikili dosyalar arasında güçlü bir bağlantı olduğunu gösteren kill switch analizinin “kasıtlı ve hesaplı bir kaldırmaya” işaret ettiğini söylüyor. Araştırmacılar, bunun, kaldırma işleminin muhtemelen orijinal Mozi botnet yaratıcısı veya Çin kolluk kuvvetleri tarafından gerçekleştirildiğini, belki de botnet operatörlerini görevlendirdiğini veya işbirliğini zorladığını öne sürdüğünü söylüyor.
“En büyük kanıt, bu kill switch güncellemesinin doğru özel anahtarla imzalanmış olmasıdır. Bu olmadan virüs bulaşan cihazlar bu güncellemeyi kabul etmez ve uygulamaz” dedi Bešina TechCrunch’a. “Bildiğimiz kadarıyla yalnızca orijinal Mozi operatörleri bu özel imzalama anahtarına erişebiliyordu. Bu özel imzalama anahtarını makul bir şekilde alabilecek diğer tek taraf, Temmuz 2021’de Mozi operatörlerini yakalayan Çin emniyet teşkilatıdır.”
Bešina, ESET’in kill switch güncellemelerine ilişkin analizinin, bunların aynı temel kaynak kodundan derlenmiş olması gerektiğini gösterdiğini ekledi. Bešina, “Yeni öldürme anahtarı güncellemesi, orijinal Mozi’nin yalnızca ‘sadeleştirilmiş’ bir versiyonudur” dedi.
Mozi’nin görünürde ortadan kaldırılması, FBI’ın, diğer bilgisayar korsanlarının erişim satın alması ve kendi kötü amaçlı yazılımlarını dağıtması için kurbanın ağında ilk dayanak noktasını sağladığı bilinen bir bankacılık truva atı olan kötü şöhretli Qakbot botnet’i çökertmesi ve parçalamasından haftalar sonra gerçekleşti.