Red de bots de IoT Mozi ha sido desmantelada mediante un kill switch

0
20

ESET Research observó recientemente la repentina desaparición de una de las botnets más prolíficas del Internet de las Cosas (IoT), llamada Mozi, infame por explotar vulnerabilidades en cientos de miles de dispositivos IoT cada año.

El Protocolo de Datagramas de Usuario (UDP) observó un descenso imprevisto de la actividad que comenzó en la India y se observó también en China una semana después. El cambio se debió a una actualización de los bots Mozi que les quitó funcionalidad. Unas semanas después de estos sucesos, los investigadores de ESET pudieron identificar y analizar el kill switch que causó la desaparición de Mozi.

«La desaparición de una de las redes de bots IoT más prolíficas es un caso fascinante de ciberforense, que nos proporciona información técnica interesante sobre cómo se crean, operan y desmantelan estas redes de bots», afirma Ivan Bešina, investigador de ESET que investigó la desaparición de Mozi.

El 27 de septiembre de 2023, los investigadores de ESET detectaron la carga útil de control (archivo de configuración) dentro de un mensaje UDP que carecía del contenido típico; su nueva actividad era, de hecho, actuar como el kill switch responsable del derribo de Mozi.
El kill switch detenía el proceso padre -el malware Mozi original- y desactivaba ciertos servicios del sistema, sustituía el archivo Mozi original por sí mismo, ejecutaba ciertos comandos de configuración de routers/dispositivos y desactivaba el acceso a varios puertos.

A pesar de la drástica reducción de funcionalidad, los bots Mozi han mantenido su persistencia, lo que indica un derribo deliberado y calculado. El análisis de ESET del kill switch mostró una fuerte conexión entre el código fuente original de la botnet y las cargas útiles de control utilizadas recientemente que estaban firmadas por las claves privadas correctas.

«Hay dos posibles instigadores de este desmantelamiento: el creador original de la red de bots Mozi o las fuerzas de seguridad chinas, que tal vez reclutaron o forzaron la cooperación del actor o actores originales. La secuencia de ataques a India y China sugiere que el desmantelamiento se llevó a cabo deliberadamente, atacando primero a un país y una semana después al otro», explica Bešina.

Para obtener más información técnica sobre la desaparición de la red de bots Mozi, consulte la entrada del blog «¿Quién mató a Mozi?Finally putting the IoT zombie botnet in its grave»

Fuente: ESET

Custom Text
Artículo anteriorSAP lanza un equipo de expertos dinámicos en SAP Future Trends
Artículo siguienteBancaribe celebra 69 años ofreciendo soluciones financieras a los venezolanos