ESET Research heeft onlangs de plotselinge ondergang waargenomen van Mozi, een van de meest productieve IoT-botnets, berucht door zijn jaarlijkse misbruik van kwetsbaarheden in honderdduizenden IoT-toestellen. User Datagram Protocol (UDP) constateerde een onverwachte daling van de activiteiten die in India begon en een week later ook in China is waargenomen.
· Onderzoekers van ESET hebben de plotselinge ondergang waargenomen van een van de meest productieve IoT-botnets (Internet of Things): Mozi, sinds 2019 verantwoordelijk voor het misbruiken van honderdduizenden toestellen per jaar.
· In augustus observeerde ESET een daling in de activiteiten van Mozi in India en China, en ontdekte later een kill switch die de malware uitschakelde en de Mozi-bots hun functie ontnam.
· Voor deze uitschakeling zijn er twee potentiële ontwikkelaars: de maker van het originele Mozi-botnet of de Chinese autoriteiten, die wellicht de medewerking van de oorspronkelijke actor(en) inroept of afdwingt. De sequentiële aanvallen op India en nadien op China suggereren dat de verwijdering opzettelijk gebeurde, waarbij het ene land eerst werd aangevallen en het andere een week later.
2 November 2023 — ESET Research heeft onlangs de plotselinge ondergang waargenomen van Mozi, een van de meest productieve IoT-botnets, berucht door zijn jaarlijkse misbruik van kwetsbaarheden in honderdduizenden IoT-toestellen. User Datagram Protocol (UDP) constateerde een onverwachte daling van de activiteiten die in India begon en een week later ook in China is waargenomen. Deze verandering werd veroorzaakt door een update van Mozi-bots die hen van hun functionaliteiten ontnam. Een paar weken daarna kon ESET de ‘kill switch’ identificeren en analyseren die verantwoordelijk was voor de ondergang van Mozi.
“De ondergang van een van de meest productieve IoT-botnets is een boeiend geval van cyber-forensisch onderzoek, dat ons intrigerende technische informatie verschaft over hoe dergelijke botnets ‘in the wild’ gecreëerd, geëxploiteerd en ontmanteld worden”, zegt ESET-onderzoeker Ivan Bešina, die de verdwijning van Mozi onderzocht.
Op 27 september 2023 ontdekten ESET-onderzoekers de controle payload (configuratiebestand) in een UDP-bericht waarin de typische inhoud ontbrak; zijn nieuwe activiteit was te fungeren als de ‘kill switch’ verantwoordelijk voor de uitschakeling van Mozi. Deze kill switch stopte het ouderproces (de oorspronkelijke Mozi-malware) en schakelde bepaalde systeemdiensten uit, verving het originele Mozi-bestand door zichzelf, voerde bepaalde router-/toestel configuratieopdrachten uit en schakelde ook de toegang tot verschillende poorten uit.
Ondanks de drastische vermindering van hun functionaliteiten zijn de Mozi-bots persistent gebleven, wat wijst op een opzettelijke en berekende verwijdering. ESET-analyse van de kill switch toonde een sterk verband tussen de originele broncode van het botnet en de onlangs gebruikte controle payloads die met de juiste privésleutels ondertekend waren.
“Er zijn twee potentiële aanzetters voor deze uitschakeling: de oorspronkelijke maker van Mozi- of de Chinese overheid, die misschien de medewerking van de oorspronkelijke acteur of acteurs vroeg of afdwong. De sequentiële aanvallen op India en vervolgens op China suggereren dat de verwijdering opzettelijk was, waarbij het ene land eerst werd aangevallen en het andere een week later”, aldus Bešina uit.
Voor meer technische informatie, lees de blog “Who killed Mozi? Finally putting the IoT zombie botnet in its grave” op www.welivesecurity.com .Volg ook ESET Research on Twitter (now known as X) voor het laatste nieuws over ESET Research.
