В августе 2023 г. активность печально известного ботнета Mozi, ежегодно использующего уязвимости в сотнях тысяч IoT-устройств, резко и неожиданно снизилась. Загадочное исчезновение ботнета Mozi, впервые замеченное в Индии 8 августа 2023 г. и спустя неделю в Китае 16 августа, лишило боты Mozi большей части их функциональности.
Расследование ESET этого события привело к обнаружению "выключателя" 27 сентября 2023 года. ESET обнаружили управляющую полезную нагрузку (файл конфигурации) в сообщении пользовательского дейтаграммного протокола (UDP), в котором отсутствовала типичная инкапсуляция протокола BitTorrent с распределенной небрежной хэш-таблицей (BT-DHT). Человек, стоящий за атакой, отправлял управляющую полезную нагрузку восемь раз, каждый раз поручая боту скачать и установить обновление самого себя по протоколу HTTP.
Убийца продемонстрировал несколько функциональных возможностей, в том числе:
- уничтожение родительского процесса, т.е. оригинальной вредоносной программы Mozi,
- отключение некоторых системных сервисов, таких как sshd и dropbear,
- замену оригинального файла Mozi на самого себя,
- выполнение некоторых команд конфигурации маршрутизатора/устройства,
- отключение доступа к различным портам (iptables -j DROP) и
- устанавливает ту же точку опоры, что и замененный оригинальный файл Mozi.
ESET выявили две версии управляющей полезной нагрузки, причем последняя функционировала как конверт, содержащий первую версию с незначительными изменениями, например, добавлением функции ping удаленного сервера, вероятно, в статистических целях.
Несмотря на резкое сокращение функциональности, боты Mozi сохранили устойчивость, что свидетельствует об их преднамеренном и расчетливом уничтожении. Проведенный нами анализ "выключателя" показал наличие тесной связи между исходным кодом ботнета и недавно использованными двоичными файлами, а также использование правильных закрытых ключей для подписи управляющей полезной нагрузки
Это позволяет выдвинуть гипотезу о двух возможных причинах уничтожения: создатели ботнета Mozi или китайские правоохранительные органы, вынужденные сотрудничать с создателями. Последовательная атака ботов в Индии, а затем в Китае позволяет предположить, что уничтожение было проведено намеренно: сначала была атакована одна страна, а через неделю - другая.
Уничтожение одной из самых распространенных IoT-ботнетов - интересный случай в киберкриминалистике, дающий нам интригующую техническую информацию о том, как создаются, работают и ликвидируются подобные бот-сети в природе. Мы продолжаем расследование этого случая и опубликуем подробный анализ в ближайшие месяцы.
Indicators of Compromise
IPv4
- 157.119.75.16
SHA1
- 758ba1ab22dd37f0f9d6fd09419bfef44f810345
- 9def707f156dd4b0147ff3f5d1065aa7d9f058aa