ClickCease Botnet IoT Mozi: El interruptor de corte detiene las operaciones

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Botnet IoT Mozi: El interruptor de corte detiene las operaciones

Wajahat Raja

13 de noviembre de 2023 - Equipo de expertos TuxCare

En un sorprendente giro de los acontecimientos, la botnet Mozi experimentó un repentino y significativo descenso de las actividades maliciosas en agosto de 2023. Este inesperado descenso se atribuyó al despliegue de un "interruptor de desactivación que se distribuyó eficazmente a los bots infectados. En este artículo, profundizaremos en los entresijos de la Botnet IoT Mozi arrojando luz sobre cómo se neutralizó una red de bots de Internet de las Cosas (IoT) hasta entonces notoria y los misterios que rodearon su desmantelamiento.


La red de bots IoT Mozi: Una amenaza nacida de familias de malware

 

La botnet Mozi, una formidable botnet de IoT, surgió del material genético de conocidas familias de malware, entre ellas Gafgyt, Miraie IoT Reaper. Su creación se remonta a 2019, y es notoria por explotar contraseñas de acceso remoto débiles o predeterminadas y vulnerabilidades de seguridad sin parches para obtener acceso inicial a dispositivos vulnerables.

 

Detención de operadores de botnets en septiembre de 2021

 

La red de bots Mozi no era ajena a los focos. En septiembre de 2021, investigadores de la empresa de ciberseguridad Netlab revelaron que los operadores de la red de bots habían sido detenidos por las autoridades chinas. Este hecho hizo albergar esperanzas de una reducción significativa del impacto de Mozi, pero el verdadero cambio de juego estaba aún por llegar.


Detenidas las operaciones de botnets IoT

 

El aspecto más intrigante de este relato es la repentina caída de la actividad de Mozi. En cuestión de días, la actividad de la red de bots cayó en picado desde los 13.300 hosts de 7 de agosto a sólo 3.500 el 10 de agosto. ¿Qué causó este rápido descenso en el funcionamiento de la botnet?

 

Desentrañar el interruptor de corte


La clave de este enigma reside en el despliegue del llamado
"kill switch". Esta misteriosa carga de control fue diseminada a los robots Mozi, efectivamente su funcionalidad mientras les permitía mantener la persistencia. El "kill switch" exhibía capacidades notables, incluyendo la terminación de los procesos del malware, la desactivación de
servicios cruciales del sistema, como SSHD y Dropbear, y finalmente sustituir a Mozi por sí mismo.


Persistencia frente a las perturbaciones


A pesar de la drástica reducción de su funcionalidad, los bots Mozi consiguieron mantener su persistencia. Esta resistencia sugiere un esfuerzo deliberado y calculado para acabar con la red de bots, orquestado por un actor desconocido con un conocimiento intrincado de su funcionamiento interno. Los investigadores de seguridad Ivan Bešina, Michal Škuta y Miloš Čermák arrojan luz sobre la
perturbación de la red de bots.


Surge una segunda variante


La trama se complica con la aparición de una segunda variante de la carga útil de control. Esta nueva variante aportaba cambios menores, incluida una función que le permitía hacer ping a un servidor remoto, probablemente con fines estadísticos. Aún más fascinante es el fuerte solapamiento entre el interruptor de corte y el código fuente original de la botnet, así como el hecho de que estuviera firmado con la clave privada correcta utilizada previamente por los operadores originales de Mozi.


El enigma del iniciador del interruptor de corte


Una de las cuestiones más acuciantes de esta historia es la identidad del individuo o grupo que está detrás de la activación del interruptor de desactivación. Hasta la fecha, no se ha confirmado quién orquestó el desmantelamiento de la botnet Mozi. Han surgido varias hipótesis, que sugieren que los responsables pueden haber sido los propios creadores originales de la botnet Mozi o las fuerzas de seguridad chinas, con la posible cooperación de los creadores.


La caída de una famosa red de bots y sus implicaciones

 

La caída de la red de bots Mozi nos proporciona información valiosa sobre la creación, el funcionamiento y el cese de este tipo de entidades malévolas en la naturaleza. Hay dos posibles instigadores de este desmantelamiento: los creadores originales de la red de bots Mozi o las fuerzas de seguridad chinas, posiblemente en colaboración o bajo coacción de los actores originales. En particular, el ataque secuencial a India y China indica una estrategia deliberada: un país afectado primero y el otro una semana después.


Conclusión

 

La saga de la red de bots IoT Mozi y su repentino declive, provocado por un misterioso interruptor de apagado, sirve como cautivadora mirada al mundo en constante evolución de la ciberseguridad. Aunque la verdadera identidad del impacto del kill switch permanece en secreto, el suceso subraya el juego del gato y el ratón entre los actores maliciosos y quienes trabajan incansablemente para proteger el ámbito digital. Es importante implantar sólidas medidas de seguridad de la red medidas de seguridad de red para mantenerse protegido.

La caída de la botnet Mozi nos recuerda los incesantes esfuerzos por salvaguardar nuestro mundo interconectado de las ciberamenazas, y nos deja con una sensación de asombro y curiosidad por el futuro de la ciberseguridad.

Las fuentes de este artículo incluyen artículos en The Hacker News y Noticias sobre ciberseguridad.

 

Resumen
Botnet IoT Mozi: El interruptor de corte detiene las operaciones
Nombre del artículo
Botnet IoT Mozi: El interruptor de corte detiene las operaciones
Descripción
Descubra cómo se detuvo en seco a la red Mozi IoT Botnet con un potente interruptor de desactivación. Mantente informado sobre la seguridad del IoT.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín