Mystérieux interrupteur de mise à mort perturbe les opérations du botnet Mozi IoT

La baisse inattendue de l’activité malveillante liée au botnet Mozi en août 2023 est due à la distribution d’un « kill switch » aux bots.

« La baisse s’est d’abord manifestée en Inde le 8 août », indique ESET dans une analyse publiée cette semaine. « Une semaine plus tard, le 16 août, la même chose s’est produite en Chine. Bien que la mystérieuse charge utile de contrôle – alias kill switch – ait privé les bots Mozi de la plupart de leurs fonctionnalités, ils ont maintenu leur persistance. »

Mozi est un botnet de l’Internet des objets (IoT) qui a émergé du code source de plusieurs familles de logiciels malveillants connues, telles que Gafgyt, Mirai et IoT Reaper. Repéré pour la première fois en 2019, il est connu pour exploiter des mots de passe d’accès à distance faibles et par défaut, ainsi que des vulnérabilités de sécurité non corrigées pour l’accès initial.

En septembre 2021, des chercheurs de la société de cybersécurité Netlab ont révélé l’arrestation des opérateurs du botnet par les autorités chinoises.

Mais la chute brutale de l’activité de Mozi – qui est passée d’environ 13 300 hôtes le 7 août à 3 500 le 10 août – serait le résultat de la transmission par un acteur inconnu d’une commande ordonnant aux bots de télécharger et d’installer une mise à jour destinée à neutraliser le logiciel malveillant.

Plus précisément, le kill switch a démontré sa capacité à mettre fin au processus du logiciel malveillant, à désactiver des services système tels que SSHD et Dropbear, et finalement à remplacer Mozi par lui-même.

« Malgré la réduction drastique des fonctionnalités, les bots Mozi ont maintenu leur persistance, ce qui indique une destruction délibérée et calculée », ont déclaré les chercheurs en sécurité Ivan Bešina, Michal Škuta et Miloš Čermák.
Une deuxième variante de la charge utile de contrôle comportait des modifications mineures, notamment une fonction permettant d’envoyer une requête ping à un serveur distant, probablement à des fins statistiques. De plus, le kill switch présente un fort chevauchement avec le code source original des botnets et est signé avec la clé privée correcte utilisée précédemment par les opérateurs Mozi originaux.

 

« Il y a deux instigateurs potentiels pour ce démantèlement : Le créateur du botnet Mozi ou les forces de l’ordre chinoises, qui ont peut-être sollicité ou forcé la coopération du ou des acteurs originaux », a déclaré M. Bešina. « Le ciblage séquentiel de l’Inde puis de la Chine suggère que le démantèlement a été effectué délibérément, un pays étant ciblé en premier et l’autre une semaine plus tard. »

Partager:

Les dernières actualités :