La botnet Mozi è ora ridotta a se stessa, grazie a un kill switch di fatto attivato in agosto.
Attivo da settembre 2019, Mozi è una botnet peer-to-peer (P2P). che consente attacchi DDoS (Distributed Denial of Service), nonché l'esfiltrazione di dati e l'esecuzione di payload. Infetta i dispositivi Internet of Things (IoT) — utilizzando gateway di rete, ad esempio, come via verso compromessi più potenti, e il suo codice sorgente affonda le sue radici in altre botnet basate sull'IoT, tra cui Mirai, Gafgyt e IoT Reaper.
Una volta la botnet più prolifica al mondo, Mozi è ormai quasi chiusa. In un post sul blog pubblicato il 1 novembre, i ricercatori di ESET hanno ipotizzato che i creatori, o forse il governo cinese, fossero responsabili della distribuzione di un aggiornamento che ne ha interrotto la capacità di connettersi al mondo esterno, lasciando in piedi solo una piccola parte dei robot funzionanti.
"Il nuovo aggiornamento kill switch è semplicemente una versione 'ridotta' dell'originale Mozi", spiega Ivan Bešina, ricercatore senior di malware per ESET. "Ha lo stesso meccanismo di persistenza e imposta il firewall allo stesso modo di Mozi, ma manca di tutte le sue capacità di rete", rendendolo nullo per un uso futuro.
La legge sulla scomparsa di Mozi
Anche nei suoi primi giorni, Mozi era una forza da non sottovalutare. Secondo X-Force di IBM, dalla fine del 2019 alla metà del 2020, ha rappresentato il 90% del traffico botnet globale, provocando un massiccio aumento del traffico botnet complessivo. Fino al 2023, ESET ha monitorato oltre 200,000 bot Mozi unici, anche se avrebbero potuto essercene molti di più.
Ora se n'è andato, ancora più velocemente di quanto sia arrivato.
L'8 agosto, esemplari di Mozi in India sono caduti da un dirupo. Il 16 agosto è accaduta la stessa cosa in Cina. Ora la botnet non esiste più in nessuno dei due paesi, e le istanze globali sono ridotte a una piccola frazione di quelle di una volta.
Il 27 settembre, i ricercatori di ESET hanno scoperto la causa: un file di configurazione all'interno di un messaggio UDP (User Datagram Protocol), inviato ai bot Mozi, con le istruzioni per scaricare e installare un aggiornamento.
L'aggiornamento è stato, in effetti, un kill switch.
Ha sostituito il malware con una copia di se stesso e ha attivato alcune altre azioni sui dispositivi host: disabilitare determinati servizi, accedere a determinate porte ed eseguire determinati comandi di configurazione e stabilire sul dispositivo lo stesso punto d'appoggio del file malware che ha sostituito.
Le sovrapposizioni con il codice sorgente originale e le chiavi private utilizzate per firmare il kill switch indicavano certamente che i responsabili erano gli autori originali, ma i ricercatori hanno anche ipotizzato se gli autori potrebbero essere stati costretti a uccidere la loro creazione dalle forze dell'ordine cinesi, che li ha arrestati nel 2021.
È questa la fine di Mozi?
Nonostante la sua enorme presenza in tutto il mondo, per Bešina Mozi non rappresentava una grande minaccia.
“Uno dei problemi con Mozi era che generava notevoli quantità di traffico Internet poiché i bot attaccavano attivamente i dispositivi in tutto il mondo, cercando di diffondersi da soli (senza la supervisione degli operatori). Confonde i registri di sicurezza e crea piccoli incidenti per gli analisti della sicurezza che monitorano l'infrastruttura. Chiunque avesse adottato le contromisure di sicurezza di base era al sicuro”, afferma.
E per ironia della sorte, grazie al suo kill switch, Mozi ha ora reso i suoi dispositivi host ancora più resistenti alle future infezioni da malware di quanto non sarebbero stati altrimenti.
Come spiega Bešina, “rafforza il dispositivo da ulteriori infezioni da altri malware poiché disattiva i servizi di gestione come il server SSH e mette in atto rigide regole firewall. In questo caso, la persistenza aiuta a mantenere questa configurazione rafforzata anche dopo il riavvio del dispositivo, quindi gli autori del kill switch hanno fatto il massimo possibile per evitare la reinfezione con il Mozi originale o un altro malware."
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/ics-ot/somebody-just-killed-mozi-botnet
