.
O botnet Mozi praticamente desapareceu, de acordo com o pessoal de segurança que primeiro notou a desaceleração da prolífica rede e depois descobriu um interruptor de interrupção para o sistema IoT. Mas eles ainda têm uma pergunta sem resposta: “Quem matou Mozi?”
Mozi, que surgiu no final de 2019 e logo depois representou uma estimativa 90 por cento de todo o tráfego malicioso da rede IoT, ganhou rapidamente notoriedade ao explorar vulnerabilidades em centenas de milhares de dispositivos conectados todos os anos.
Mas então, em agosto deste ano, a atividade da rede criminosa sofreu “uma queda repentina e imprevista”, de acordo com a ESET Research, que na quarta-feira disse que sua equipe encontrou um kill switch ativado para “colocar o botnet zumbi da IoT em seu túmulo”.
Eles detectaram a desaceleração primeiro na Índia em 8 de agosto e depois na China em 16 de agosto. Pouco mais de um mês depois, a ESET encontrou a carga útil de controle dentro de uma mensagem de protocolo de datagrama de usuário (UDP) que agia como o kill switch e tinha alguns funcionalidade extra interessante.
O comando interrompeu o malware Mozi, desativou alguns serviços do sistema, substituiu o arquivo original do aplicativo, reordenou alguns comandos de configuração de roteador/dispositivo e desativou o acesso a várias portas.
“A pessoa por trás da remoção enviou a carga de controle oito vezes, cada vez instruindo o bot a baixar e instalar uma atualização via HTTP”, escreveram os pesquisadores de malware da ESET Ivan Bešina, Michal Škuta e Miloš Čermák.
Apesar de retirar as capacidades do malware, os bots Mozi ainda mantiveram persistência, acrescentou o trio. Eles também observam que o código do kill switch compartilha alguns trechos de código com o botnet original, e quem acionou o switch para derrubar o Mozi usou as chaves privadas corretas para assinar a carga útil.
Tudo isso levou o departamento de segurança a duas teorias sobre quem está por trás do desligamento do bot IoT.
“Existem dois potenciais instigadores para esta remoção: o criador original do botnet Mozi ou as autoridades chinesas, talvez recrutando ou forçando a cooperação do ator ou atores originais”, disse Bešina em um comunicado. declaração.
“O ataque sequencial à Índia e depois à China sugere que a derrubada foi realizada deliberadamente, com um país sendo o alvo primeiro e o outro uma semana depois”, continuou ele.
A equipe afirma que a investigação está em andamento e os pesquisadores publicarão uma análise mais detalhada nos próximos meses. É claro que ainda não se sabe se o botnet zumbi da IoT permanecerá morto. um hábito de voltar do túmulo. ®
.
