La baisse inattendue des activités malveillantes liées au botnet Mozi en août 2023 était due à un kill switch distribué aux robots.
« Tout d’abord, la baisse s’est manifestée en Inde le 8 août », ESET dit dans une analyse publiée cette semaine. « Une semaine plus tard, le 16 août, la même chose s’est produite en Chine. Alors que la mystérieuse charge utile de contrôle – également appelée kill switch – a privé les robots Mozi de la plupart des fonctionnalités, ils ont maintenu leur persistance. »
Mozi est un botnet de l’Internet des objets (IoT) issu du code source de plusieurs familles de logiciels malveillants connues, telles que Gafgyt, Mirai et IoT Reaper. Repéré pour la première fois en 2019, il est connu pour exploiter les mots de passe d’accès à distance faibles et par défaut ainsi que les vulnérabilités de sécurité non corrigées pour l’accès initial.
En septembre 2021, des chercheurs de la société de cybersécurité Netlab ont révélé l’arrestation des opérateurs de botnet par les autorités chinoises.
Mais le déclin précipité L’activité de Mozi – d’environ 13 300 hôtes le 7 août à 3 500 le 10 août – serait le résultat d’un acteur inconnu transmettant une commande demandant aux robots de télécharger et d’installer une mise à jour conçue pour neutraliser le malware.
 |
| Fondation Shadowserver |
Plus précisément, le kill switch a démontré sa capacité à mettre fin au processus du malware, à désactiver les services système tels que SSHD et Dropbear, et finalement à remplacer Mozi par lui-même.
« Malgré la réduction drastique des fonctionnalités, les robots Mozi ont maintenu leur persistance, ce qui indique un retrait délibéré et calculé », ont déclaré les chercheurs en sécurité Ivan Bešina, Michal Škuta et Miloš Čermák.
Une deuxième variante de la charge utile de contrôle a été accompagnée de modifications mineures, notamment une fonctionnalité permettant d’envoyer une requête ping à un serveur distant, probablement à des fins statistiques. De plus, le kill switch présente un fort chevauchement avec le code source original du botnet et est signé avec la clé privée correcte précédemment utilisée par les opérateurs Mozi d’origine.
« Il y a deux instigateurs potentiels pour ce démantèlement : le créateur original du botnet Mozi ou les forces de l’ordre chinoises, peut-être en mobilisant ou en forçant la coopération du ou des acteurs originaux », a déclaré Bešina.
« Le ciblage séquentiel de l’Inde puis de la Chine suggère que le retrait a été effectué délibérément, un pays étant ciblé en premier et l’autre une semaine plus tard. »