Исследователи ESET раскрыли секретное оружие против вредоносного ПО.
Специалисты в области кибербезопасности из компании ESET сообщили о наблюдаемом, по их мнению, «целенаправленном» уничтожении ботнета Mozi, проникшего в более чем в миллион устройств интернета вещей (IoT) по всему миру.
Mozi, выявленный в 2019 году компанией 360 Netlab, является ботнетом, использующим слабые пароли telnet и известные уязвимости для захвата домашних маршрутизаторов и видеорегистраторов. С помощью этих захваченных устройств ботнет осуществлял DDoS-атаки, выполнял внедрение вредоносных программ и вымогал данные. С момента обнаружения Mozi заразил более 1,5 миллиона устройств, большинство из которых, по меньшей мере 830 000, находятся в Китае.
В августе 2021 года компания Microsoft предупредила о том, что Mozi эволюционировал, добившись постоянства на сетевых шлюзах, произведённых Netgear, Huawei и ZTE. В том же месяце 360 Netlab сообщила о помощи в операции китайских правоохранительных органов по аресту создателей Mozi.
ESET, начавшая исследование Mozi за месяц до этих арестов, заметила резкое сокращение активности ботнета в августе текущего года.
Иван Бешина, старший исследователь вредоносных программ в ESET, сообщил о мониторинге приблизительно 1 200 уникальных устройств ежедневно по всему миру до этого события. «Мы наблюдали 200 000 уникальных устройств в первой половине этого года и 40 000 в июле 2023 года», — сказал Бешина. После ликвидации инфраструктуры Mozi, как сообщается, инструмент мониторинга ESET фиксировал не более 100 уникальных устройств в день.
Это снижение активности сначала было замечено в Индии, затем в Китае, которые вместе составляют 90% всех заражённых устройств в мире, добавил Бешина, уточнив, что Россия занимает третье место по числу инфицированных устройств, за ней следуют Таиланд и Южная Корея.
Спад активности был вызван обновлением ботов Mozi, которое лишило их функциональности. ESET сообщает, что анализ сделанного обновления показал прямую связь между исходным кодом ботнета и недавно использованными бинарными файлами, что указывает на «целенаправленное и рассчитанное уничтожение».
Исследователи полагают, что деактивацию, вероятно, провели сами создатели Mozi или китайские правоохранительные органы, возможно, принудив к сотрудничеству операторов ботнета.
«Самым важным доказательством является то, что это обновление было подписано правильным приватным ключом. Без этого заражённые устройства не приняли бы и не применили бы это обновление», — отметил Бешина.
«По нашим данным, только оригинальные операторы Mozi имели доступ к этому приватному ключу подписи. Единственной другой стороной, которая могла бы получить этот приватный ключ, является китайское правоохранительное агентство, которое поймало операторов Mozi в июле 2021 года».
Бешина добавил, что анализ обновлений с функцией отключения показал, что они должны были быть скомпилированы из той же базовой исходной кодовой базы. «Новое обновление с функцией отключения — это просто «упрощённая» версия оригинального Mozi», — сказал Бешина.
Предполагаемое уничтожение Mozi произошло через несколько недель после того, как ФБР ликвидировало и демонтировало известный ботнет Qakbot, троян, знаменитый тем, что обеспечивал первоначальный доступ к сетям жертв для других хакеров, покупающих доступ и внедряющих своё вредоносное ПО.
И мы тоже не спим, чтобы держать вас в курсе всех угроз