La caída inesperada de la actividad maliciosa relacionada con la botnet Mozi en agosto de 2023 se debió a un interruptor de apagado que se distribuyó a los bots.
«Primero, la caída se manifestó en India el 8 de agosto», ESET dicho en un análisis publicado esta semana. «Una semana después, el 16 de agosto, sucedió lo mismo en China. Si bien la misteriosa carga útil de control, también conocida como interruptor de apagado, despojó a los robots Mozi de la mayor parte de su funcionalidad, mantuvieron la persistencia».
Mozi es una botnet de Internet de las cosas (IoT) que surgió del código fuente de varias familias de malware conocidas, como Gafgyt, Mirai e IoT Reaper. Descubierto por primera vez en 2019, se sabe que explota contraseñas de acceso remoto débiles y predeterminadas, así como vulnerabilidades de seguridad sin parches para el acceso inicial.
En septiembre de 2021, investigadores de la empresa de ciberseguridad Netlab revelaron el arresto de los operadores de botnets por parte de las autoridades chinas.
Pero el caída precipitada Se dice que la actividad de Mozi (de alrededor de 13.300 hosts el 7 de agosto a 3.500 el 10 de agosto) es el resultado de que un actor desconocido transmitió un comando que ordenaba a los bots que descargaran e instalaran una actualización diseñada para neutralizar el malware.
 |
| Fundación servidor de sombras |
Específicamente, el interruptor de apagado demostró capacidades para finalizar el proceso del malware, deshabilitar servicios del sistema como SSHD y Dropbear y, en última instancia, reemplazar a Mozi por sí mismo.
«A pesar de la drástica reducción de la funcionalidad, los bots de Mozi han mantenido su persistencia, lo que indica una eliminación deliberada y calculada», dijeron los investigadores de seguridad Ivan Bešina, Michal Škuta y Miloš Čermák.
Una segunda variante de la carga útil de control vino equipada con cambios menores, incluida una función para hacer ping a un servidor remoto, probablemente con fines estadísticos. Es más, el interruptor de apagado muestra una fuerte superposición con el código fuente original de la botnet y está firmado con la clave privada correcta utilizada previamente por los operadores originales de Mozi.
«Hay dos instigadores potenciales para este derribo: el creador original de la botnet Mozi o las autoridades chinas, tal vez alistando u forzando la cooperación del actor o actores originales», dijo Bešina.
«El ataque secuencial a India y luego a China sugiere que el derribo se llevó a cabo deliberadamente, con un país atacado primero y el otro una semana después».