ClickCease Botnet Mozi IoT : L'interrupteur d'arrêt arrête les opérations

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Botnet Mozi IoT : L'interrupteur d'arrêt arrête les opérations

Wajahat Raja

13 novembre 2023 - L'équipe d'experts de TuxCare

De manière surprenante, le réseau de zombies Mozi a connu une baisse soudaine et significative des activités malveillantes. activités malveillantes en août 2023. Cette baisse inattendue a été attribuée au déploiement d'un "kill switch". "kill switch" (interrupteur de mise à mort) qui a été effectivement distribué aux bots infectés. Dans cet article, nous allons nous pencher sur les subtilités du botnet Mozi IoT. Mozi IoT Botnet en mettant en lumière la manière dont un botnet de l'internet des objets (IoT) précédemment notoire a été neutralisé et les mystères qui entourent son démantèlement.


Le botnet Mozi IoT : Une menace issue de familles de logiciels malveillants

 

Le botnet Mozi, un redoutable botnet IoT, est né du matériel génétique de familles de logiciels malveillants bien connues, dont Gafgyt, Miraiet IoT Reaper. Sa création remonte à 2019, et il est connu pour exploiter des mots de passe d'accès à distance faibles ou par défaut, ainsi que des failles de sécurité non corrigées, afin d'obtenir un accès initial à des appareils vulnérables.

 

L'arrestation d'opérateurs de botnet en septembre 2021

 

Le réseau de zombies Mozi n'est pas étranger à ce qui se passe sous les feux de la rampe. En septembre 2021, des chercheurs de la société de cybersécurité Netlab ont révélé que les opérateurs du botnet avaient été appréhendés par les autorités chinoises. Ce développement a fait naître l'espoir d'une réduction significative de l'impact de Mozi, mais le véritable changement de la donne était encore à venir.


Arrêt des opérations du botnet IoT

 

L'aspect le plus intrigant de ce récit est la chute soudaine de l'activité de Mozi. En l'espace de quelques jours, l'activité du botnet est passée d'environ 13 300 hôtes le 7 août à seulement 3 500 le 10 août. Quelle est la cause de ce déclin rapide de l'activité du réseau de zombies ?

 

Démêler l'écheveau de l'interrupteur d'arrêt


La clé de cette énigme réside dans le déploiement de ce que l'on appelle le "kill switch".
"kill switch". Cette mystérieuse charge utile de contrôle a été diffusée aux robots Mozi, ce qui a eu pour effet de paralyser leur fonctionnement. paralysant leur fonctionnalité tout en leur permettant de persister. Le kill switch présentait des capacités remarquables, notamment l'arrêt des processus du logiciel malveillant, la désactivation de services système cruciaux tels que SSHD et le système d'exploitation de l'ordinateur.
services système cruciaux tels que SSHD et Dropbear, et finalement remplacer Mozi par lui-même.


La persévérance face aux perturbations


Malgré la réduction drastique de leurs fonctionnalités, les bots Mozi ont réussi à maintenir leur persistance. Cette résistance suggère un effort délibéré et calculé pour démanteler le botnet, orchestré par un acteur inconnu ayant une connaissance approfondie de son fonctionnement interne. Les chercheurs en sécurité Ivan Bešina, Michal Škuta et Miloš Čermák ont fait la lumière sur la
perturbation du botnet.


Une deuxième variante apparaît


L'affaire se corse avec l'apparition d'une deuxième variante de la charge utile de contrôle. Cette nouvelle variante a apporté des changements mineurs, notamment une fonction qui lui permet d'envoyer un signal ping à un serveur distant, probablement à des fins statistiques. Ce qui est encore plus fascinant, c'est le chevauchement important entre le kill switch et le code source original du botnet, ainsi que le fait qu'il a été signé avec la bonne clé privée utilisée précédemment par les opérateurs Mozi originaux.


L'énigme de l'initiateur de l'interrupteur d'arrêt d'urgence


L'une des questions les plus pressantes dans cette histoire est l'identité de la personne ou du groupe à l'origine du déclenchement du kill switch. À ce jour, il n'existe aucune information confirmée sur l'identité de la personne qui a orchestré le démantèlement du botnet Mozi. Diverses hypothèses ont fait surface, suggérant que les créateurs du botnet Mozi eux-mêmes ou les forces de l'ordre chinoises, avec la coopération éventuelle des créateurs, pourraient en être responsables.


La chute d'un botnet notoire et ses implications

 

La chute du botnet Mozi nous donne des indications précieuses sur la création, le fonctionnement et la disparition de telles entités malveillantes dans la nature. Deux instigateurs potentiels de ce démantèlement émergent, soit les créateurs du botnet Mozi, soit les forces de l'ordre chinoises, éventuellement en collaboration ou sous la contrainte des acteurs initiaux. Le ciblage séquentiel de l'Inde et de la Chine indique une stratégie délibérée, l'un des pays étant touché en premier et l'autre une semaine plus tard.


Conclusion

 

La saga du botnet Mozi IoT et son déclin soudain, provoqué par un mystérieux "kill switch", offre un aperçu captivant du monde en constante évolution de la cybersécurité. Bien que la véritable identité du l'impact du kill switch reste entourée de secret, l'événement souligne le jeu du chat et de la souris entre les acteurs malveillants et ceux qui travaillent sans relâche à la protection du monde numérique. Il est important de mettre en place des systèmes de solides mesures de sécurité du réseau pour rester protégé.

La chute du botnet Mozi nous rappelle les efforts incessants déployés pour protéger notre monde interconnecté contre les cybermenaces, et nous laisse un sentiment d'émerveillement et de curiosité quant à l'avenir de la cybersécurité.

Les sources de cet article comprennent des articles dans The Hacker News et Cyber Security News.

 

Résumé
Botnet Mozi IoT : L'interrupteur d'arrêt arrête les opérations
Nom de l'article
Botnet Mozi IoT : L'interrupteur d'arrêt arrête les opérations
Description
Découvrez comment le botnet Mozi IoT a été stoppé dans son élan grâce à un puissant kill switch. Restez informé sur la sécurité de l'IdO.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information