Le botnet Mozi n’est désormais plus qu’une coquille de lui-même, grâce à un kill switch de facto déclenché en août.
Actif depuis septembre 2019, Mozi est un botnet peer-to-peer (P2P) qui permet des attaques par déni de service distribué (DDoS), ainsi que l’exfiltration de données et l’exécution de charges utiles. Il infecte les appareils Internet des objets (IoT) – en utilisant des passerelles réseau, par exemplecomme une avancée vers des compromis plus puissants – et son code source a ses racines dans d’autres botnets basés sur l’IoT, notamment Mirai, Gafgyt et IoT Reaper.
Autrefois le botnet le plus prolifique au monde, Mozi est désormais pratiquement fermé. Dans un article de blog publié le 1er novembredes chercheurs d’ESET ont émis l’hypothèse que les créateurs, ou peut-être le gouvernement chinois, étaient responsables de la distribution d’une mise à jour qui détruisait sa capacité à se connecter au monde extérieur, ne laissant debout qu’une petite fraction des robots fonctionnels.
« La nouvelle mise à jour du kill switch n’est qu’une version « allégée » du Mozi original », explique Ivan Bešina, chercheur principal en logiciels malveillants chez ESET. « Il a le même mécanisme de persistance et configure le pare-feu de la même manière que Mozi, mais il lui manque toutes ses capacités réseau », ce qui le rend nul pour une utilisation future.
L’acte de disparition de Mozi
Même à ses débuts, Mozi était une force avec laquelle il fallait compter. Selon X-Force d’IBM, de fin 2019 à mi-2020, il représentait 90 % du trafic mondial des botnets, provoquant une augmentation massive du trafic global des botnets. Pas plus tard qu’en 2023, ESET a suivi plus de 200 000 robots Mozi uniques, même s’il aurait pu y en avoir beaucoup plus.
Maintenant, c’est parti, encore plus vite qu’il n’était venu.
Le 8 août, les cas de Mozi en Inde sont tombés d’une falaise. Le 16 août, la même chose s’est produite en Chine. Aujourd’hui, le botnet n’existe pratiquement plus dans aucun des deux pays, et les instances mondiales ne sont plus qu’une petite fraction de ce qu’elles étaient autrefois.
Le 27 septembre, des chercheurs d’ESET ont découvert la cause : un fichier de configuration contenu dans un message UDP (User Datagram Protocol), envoyé aux robots Mozi, avec des instructions pour télécharger et installer une mise à jour.
La mise à jour était, en fait, un kill switch.
Il a remplacé le malware par une copie de lui-même et a déclenché quelques autres actions sur les appareils hôtes : désactivation de certains services, accès à certains ports et exécution de certaines commandes de configuration, et établissement du même point d’ancrage sur l’appareil que le fichier malveillant qu’il a remplacé.
Les chevauchements avec son code source d’origine et les clés privées utilisées pour signer le kill switch indiquaient certainement que les responsables étaient les auteurs originaux, mais les chercheurs ont également spéculé si les auteurs auraient pu être contraints de tuer leur création par les forces de l’ordre chinoises. qui les a arrêtés en 2021.
Est-ce la fin de Mozi ?
Malgré son énorme présence dans le monde entier, pour Bešina, Mozi ne représentait pas vraiment une menace au départ.
« L’un des problèmes de Mozi était qu’il générait des quantités substantielles de trafic Internet, car les robots attaquaient activement les appareils partout dans le monde, essayant de se propager par eux-mêmes (sans la supervision des opérateurs). Cela encombre les journaux de sécurité et crée de petits incidents pour les utilisateurs. « Les analystes de sécurité surveillaient les infrastructures. Toute personne disposant de contre-mesures de sécurité de base était en sécurité », dit-il.
Et ironiquement, grâce à son kill switch, Mozi a désormais rendu ses appareils hôtes encore plus résistants aux futures infections de logiciels malveillants qu’ils ne l’auraient été autrement.
Comme l’explique Bešina, « cela protège l’appareil contre toute infection ultérieure par d’autres logiciels malveillants en désactivant les services de gestion comme le serveur SSH et en mettant en place des règles de pare-feu strictes. Dans ce cas, la persistance permet de conserver cette configuration renforcée même après le redémarrage de «
