Новости Ботнет Mozi медленно умирает: кто ответственен за демонтаж обширной зловредной сети

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Исследователи ESET раскрыли секретное оружие против вредоносного ПО.


bwlka00bkqv9the09e3u9klc31e1wu7s.jpg


Специалисты в области кибербезопасности из компании ESET Для просмотра ссылки Войди или Зарегистрируйся о наблюдаемом, по их мнению, «целенаправленном» уничтожении ботнета Mozi, проникшего в более чем в миллион устройств интернета вещей ( IoT ) по всему миру.

Mozi, выявленный в 2019 году компанией 360 Netlab, является ботнетом, использующим слабые пароли telnet и известные уязвимости для захвата домашних маршрутизаторов и видеорегистраторов. С помощью этих захваченных устройств ботнет осуществлял DDoS -атаки, выполнял внедрение вредоносных программ и вымогал данные. С момента обнаружения Mozi заразил более 1,5 миллиона устройств, большинство из которых, по меньшей мере 830 000, находятся в Китае.

В августе 2021 года компания Microsoft предупредила о том, что Mozi эволюционировал, добившись постоянства на сетевых шлюзах, произведённых Netgear, Huawei и ZTE. В том же месяце 360 Netlab сообщила о помощи в операции китайских правоохранительных органов по аресту создателей Mozi.

ESET, начавшая исследование Mozi за месяц до этих арестов, заметила резкое сокращение активности ботнета в августе текущего года.

Иван Бешина, старший исследователь вредоносных программ в ESET, сообщил о мониторинге приблизительно 1 200 уникальных устройств ежедневно по всему миру до этого события. «Мы наблюдали 200 000 уникальных устройств в первой половине этого года и 40 000 в июле 2023 года», — сказал Бешина. После ликвидации инфраструктуры Mozi, как сообщается, инструмент мониторинга ESET фиксировал не более 100 уникальных устройств в день.

Это снижение активности сначала было замечено в Индии, затем в Китае, которые вместе составляют 90% всех заражённых устройств в мире, добавил Бешина, уточнив, что Россия занимает третье место по числу инфицированных устройств, за ней следуют Таиланд и Южная Корея.

Спад активности был вызван обновлением ботов Mozi, которое лишило их функциональности. ESET сообщает, что анализ сделанного обновления показал прямую связь между исходным кодом ботнета и недавно использованными бинарными файлами, что указывает на «целенаправленное и рассчитанное уничтожение».

Исследователи полагают, что деактивацию, вероятно, провели сами создатели Mozi или китайские правоохранительные органы, возможно, принудив к сотрудничеству операторов ботнета.

«Самым важным доказательством является то, что это обновление было подписано правильным приватным ключом. Без этого заражённые устройства не приняли бы и не применили бы это обновление», — отметил Бешина.

«По нашим данным, только оригинальные операторы Mozi имели доступ к этому приватному ключу подписи. Единственной другой стороной, которая могла бы получить этот приватный ключ, является китайское правоохранительное агентство, которое поймало операторов Mozi в июле 2021 года».

Бешина добавил, что анализ обновлений с функцией отключения показал, что они должны были быть скомпилированы из той же базовой исходной кодовой базы. «Новое обновление с функцией отключения — это просто «упрощённая» версия оригинального Mozi», — сказал Бешина.

Предполагаемое уничтожение Mozi произошло через несколько недель после того, как ФБР Для просмотра ссылки Войди или Зарегистрируйся известный ботнет Qakbot, троян, знаменитый тем, что обеспечивал первоначальный доступ к сетям жертв для других хакеров, покупающих доступ и внедряющих своё вредоносное ПО.
 
Источник новости
www.securitylab.ru

Похожие темы