- Výskumníci spoločnosti ESET zaznamenali náhly zánik jedného z najobávanejších botnetov internetu vecí (IoT). Botnet Mozi bol od roku 2019 zodpovedný za zneužitie stoviek tisíc zariadení ročne.
- ESET v auguste zaznamenal pokles aktivity Mozi v Indii a Číne, neskôr objavil vypínač, tzv. „kill switch“, ktorý malvér odstavil a Mozi boty zbavil funkčnosti.
- Existujú dvaja potenciálni iniciátori tohto odstránenia: pôvodný tvorca botnetu Mozi alebo čínske orgány činné v trestnom konaní, ktoré možno získali alebo prinútili k spolupráci pôvodného aktéra alebo aktérov. Postupné zacielenie na Indiu a potom na Čínu naznačuje, že zásah bol vykonaný zámerne, pričom najprv bola cieľom jedna krajina a o týždeň neskôr druhá.
Výskumníci spoločnosti ESET nedávno zaznamenali náhly zánik jedného z najvýkonnejších botnetov internetu vecí (IoT) s názvom Mozi, ktorý sa neslávne preslávil zneužívaním zraniteľností v stovkách tisíc IoT zariadení ročne. Protokol UDP (User Datagram Protocol) zaznamenal neočakávaný pokles aktivity, ktorý sa začal v Indii a o týždeň neskôr bol pozorovaný aj v Číne. Zmenu spôsobila aktualizácia botov Mozi, ktorá ich zbavila funkčnosti. Niekoľko týždňov po týchto udalostiach sa výskumníkom spoločnosti ESET podarilo identifikovať a analyzovať vypínač, tzv. „kill switch“, ktorý spôsobil zánik Mozi.
„Zánik jedného z najvýkonnejších IoT botnetov je fascinujúcim prípadom kybernetickej forenznej analýzy, ktorá nám poskytuje zaujímavé technické informácie o tom, ako sa takéto botnety v reálnom prostredí vytvárajú, prevádzkujú a likvidujú,“ hovorí výskumník spoločnosti ESET Ivan Bešina, ktorý skúmal zmiznutie botnetu Mozi.
Výskumníci spoločnosti ESET 27. septembra 2023 zachytili konfiguračný súbor v UDP správe, čo je pre Mozi botnet neštandardný komunikačný protokol. Aktualizácia fungovala ako vypínač zodpovedný za prudký prepad aktivity Mozi. Tento vypínač tiež zastavil hlavný proces, teda pôvodný malvér Mozi, nahradil pôvodný súbor sebou samým, vypol niektoré systémové služby (sshd, dropbear), čiastočne upravil nastavenia routera/zariadenia a zablokoval prístup k vybraným portom.
Napriek drastickému zníženiu funkčnosti si boty Mozi zachovali svoju prítomnosť, čo naznačuje, že ide o zámerné a premyslené odstránenie. Analýza vypínača spoločnosťou ESET ukázala silné prepojenie medzi pôvodným zdrojovým kódom botnetu a nedávno použitými riadiacimi komponentmi, ktoré boli podpísané správnymi súkromnými kľúčmi.
„Existujú dvaja potenciálni iniciátori tohto odstránenia: pôvodný tvorca botnetu Mozi alebo čínske orgány činné v trestnom konaní, ktoré možno získali alebo prinútili k spolupráci pôvodného aktéra alebo aktérov. Postupné zacielenie na Indiu a potom na Čínu naznačuje, že zásah bol vykonaný úmyselne, pričom najprv bola cieľom jedna krajina a o týždeň neskôr druhá,“ vysvetľuje Bešina.
Viac technických informácií nájdete v našom špeciálnom blogu na stránke WeLiveSecurity. Najnovšie odhalenia našich výskumníkov nájdete na Twitteri (aktuálne X) ESET research.
O spoločnosti ESET
Už viac ako 30 rokov vyvíja spoločnosť ESET popredný softvér a služby zamerané na IT bezpečnosť a ochranu podnikov, kritickej infraštruktúry a domácností z celého sveta pred čoraz sofistikovanejšími digitálnymi hrozbami. V rámci širokej škály riešení určených pre koncové a mobilné zariadenia až po šifrovanie a dvojúrovňové overovanie prináša ESET svojim zákazníkom vysokovýkonné a zároveň jednoducho použiteľné produkty, ktoré chránia bez zbytočného rušenia 24 hodín denne, pričom ochranné mechanizmy sa aktualizujú v reálnom čase, aby boli používatelia vždy v bezpečí a firemná prevádzka mohla fungovať bez prerušení. Keďže hrozby sa neustále vyvíjajú, na svojom vývoji musí pracovať aj IT bezpečnostná spoločnosť, ktorá chce napomáhať k bezpečnému používaniu technológií. Na tomto cieli a podpore lepšej spoločnej budúcnosti pracuje spoločnosť ESET prostredníctvom svojich centier výskumu a vývoja v rôznych kútoch sveta. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a Twitter.