• ESET-onderzoekers hebben de plotselinge ondergang van één van de meest productieve Internet of Things (IoT)-botnets waargenomen: Mozi is sinds 2019 verantwoordelijk voor de exploitatie van honderdduizenden apparaten per jaar.
• ESET observeerde in augustus een daling in de activiteit van Mozi in India en China en ontdekte later een kill switch die de malware uitschakelde en de Mozi bots van hun functionaliteit ontnam.
• Er zijn twee mogelijke aanstichters voor deze takedown: de oorspronkelijke maker van het Mozi botnet of de Chinese wetshandhaving, die misschien de medewerking van de oorspronkelijke actor of actoren inroept of afdwingt. De opeenvolgende aanvallen op India en China suggereren dat de uitschakeling opzettelijk werd uitgevoerd, waarbij het ene land als eerste werd aangevallen en het andere land een week later.
Sliedrecht, 1 november 2023 –ESET -onderzoekers hebben onlangs de plotselinge ondergang waargenomen van één van de meest productieve Internet of Things (IoT) botnets, genaamd Mozi, berucht voor het uitbuiten van kwetsbaarheden in honderdduizenden IoT-apparaten per jaar. User Datagram Protocol (UDP) nam een onverwachte daling in activiteit waar, die begon in India en een week later ook werd waargenomen in China. De verandering werd veroorzaakt door een update van Mozi-bots, waardoor deze hun functionaliteit kwijtraakten. Een paar weken na deze gebeurtenissen konden ESET-onderzoekers de 'kill switch' identificeren en analyseren die de ondergang van Mozi veroorzaakte.
"De ondergang van één van de meest productieve IoT-botnets is een fascinerend geval van cyberforensisch onderzoek en biedt ons intrigerende technische informatie over hoe dergelijke botnets in het wild worden gecreëerd, bediend en ontmanteld", zegt ESET-onderzoeker Ivan Bešina, die de verdwijning van Mozi onderzocht.
Op 27 september 2023 ontdekten ESET-onderzoekers de payload (configuratiebestand) in een UDP-bericht dat de typische inhoud miste; zijn nieuwe activiteit was in feite om te fungeren als de uitschakelaar die verantwoordelijk was voor de uitschakeling van Mozi. De kill switch stopte het bovenliggende proces - de oorspronkelijke Mozi malware - en schakelde bepaalde systeemservices uit, het oorspronkelijke Mozi bestand werd door zichzelf vervangen, voerde bepaalde router/device configuratiecommando's uit en schakelde de toegang tot verschillende poorten uit.
Ondanks de drastische vermindering in functionaliteit hebben de Mozi bots hun hardnekkige bestaan behouden, wat duidt op een opzettelijke en berekende takedown. ESET-analyse van de kill switch toonde een sterke verbinding tussen de originele broncode van het botnet en recent gebruikte payloads die waren ondertekend met de juiste privésleutels.
"Er zijn twee mogelijke aanstichters voor deze takedown: de oorspronkelijke maker van het Mozi botnet of de Chinese wetshandhaving, die misschien de medewerking van de oorspronkelijke actor of actoren inroept of afdwingt. De opeenvolgende aanvallen op India en daarna China suggereren dat de uitschakeling met opzet is uitgevoerd, waarbij het ene land als eerste werd aangevallen en het andere een week later," legt Bešina uit.
Bekijk voor meer technische informatie over de ondergang van het Mozi botnet de blogpost "Who killed Mozi? Finally putting the IoT zombie botnet in its grave" Volg ESET Research op Twitter (nu bekend als X) voor het laatste nieuws van ESET Research.
Over ESET
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds complexere digitale dreigingen. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende dreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESETs R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook,Instagram en Twitter.