IoT-botnet Mozi neergehaald door een kill switch

User Datagram Protocol (UDP) nam een onverwachte daling in activiteit waar, die begon in India en een week later ook werd waargenomen in China. De verandering werd veroorzaakt door een update van Mozi-bots, waardoor deze hun functionaliteit kwijtraakten. Een paar weken na deze gebeurtenissen konden ESET-onderzoekers de 'kill switch' identificeren en analyseren die de ondergang van Mozi veroorzaakte.

"De ondergang van één van de meest productieve IoT-botnets is een fascinerend geval van cyberforensisch onderzoek en biedt ons intrigerende technische informatie over hoe dergelijke botnets in het wild worden gecreëerd, bediend en ontmanteld", zegt ESET-onderzoeker Ivan Bešina, die de verdwijning van Mozi onderzocht.

Op 27 september 2023 ontdekten ESET-onderzoekers de payload (configuratiebestand) in een UDP-bericht dat de typische inhoud miste; zijn nieuwe activiteit was in feite om te fungeren als de uitschakelaar die verantwoordelijk was voor de uitschakeling van Mozi. De kill switch stopte het bovenliggende proces - de oorspronkelijke Mozi malware - en schakelde bepaalde systeemservices uit, het oorspronkelijke Mozi bestand werd door zichzelf vervangen, voerde bepaalde router/device configuratiecommando's uit en schakelde de toegang tot verschillende poorten uit.

Ondanks de drastische vermindering in functionaliteit hebben de Mozi bots hun hardnekkige bestaan behouden, wat duidt op een opzettelijke en berekende takedown. ESET-analyse van de kill switch toonde een sterke verbinding tussen de originele broncode van het botnet en recent gebruikte payloads die waren ondertekend met de juiste privésleutels.

"Er zijn twee mogelijke aanstichters voor deze takedown: de oorspronkelijke maker van het Mozi botnet of de Chinese wetshandhaving, die misschien de medewerking van de oorspronkelijke actor of actoren inroept of afdwingt. De opeenvolgende aanvallen op India en daarna China suggereren dat de uitschakeling met opzet is uitgevoerd, waarbij het ene land als eerste werd aangevallen en het andere een week later," legt Bešina uit.

Bekijk voor meer technische informatie over de ondergang van het Mozi botnet de blogpost "Who killed Mozi? Finally putting the IoT zombie botnet in its grave" Volg ESET Research op Twitter (nu bekend als X) voor het laatste nieuws van ESET Research.