Accueil La cyber-sécurité Qui a tué Mozi ? Mettre enfin le botnet zombie IoT dans sa tombe

Qui a tué Mozi ? Mettre enfin le botnet zombie IoT dans sa tombe

0
Qui a tué Mozi ?  Mettre enfin le botnet zombie IoT dans sa tombe


Recherche ESET

Comment ESET Research a découvert un kill switch qui avait été utilisé pour neutraliser l’un des botnets les plus prolifiques du marché

Qui a tué Mozi ?  Mettre enfin le botnet zombie IoT dans sa tombe

En août 2023, le célèbre botnet Mozi, tristement célèbre pour exploiter les vulnérabilités de centaines de milliers d’appareils IoT chaque année, a connu une chute soudaine et imprévue de son activité. Observé pour la première fois en Inde le 8 aoûtème2023 et une semaine plus tard en Chine le 16 aoûtèmecette mystérieuse disparition a privé les robots Mozi de la plupart de leurs fonctionnalités.

Figure 1 Chute soudaine de l'activité de Mozi à l'échelle mondiale (en haut), en Inde (au milieu) et en Chine (en bas)
Figure 1. Chute soudaine de l’activité de Mozi à l’échelle mondiale (en haut), en Inde (au milieu) et en Chine (en bas)

Notre enquête sur cet événement nous a conduit à la découverte d’un kill switch le 27 septembreème, 2023. Nous avons repéré la charge utile de contrôle (fichier de configuration) dans un message de protocole de datagramme utilisateur (UDP) qui manquait l’encapsulation typique du protocole de table de hachage bâclée distribuée (BT-DHT) de BitTorrent. La personne derrière le retrait a envoyé la charge utile de contrôle huit fois, demandant à chaque fois au robot de télécharger et d’installer une mise à jour de lui-même via HTTP.

Le kill switch a démontré plusieurs fonctionnalités, notamment :

  • tuer le processus parent, c’est-à-dire le malware Mozi d’origine,
  • désactiver certains services système tels que sshd et dropbear,
  • remplacer le fichier Mozi original par lui-même,
  • exécuter certaines commandes de configuration du routeur/périphérique,
  • désactiver l’accès à divers ports (iptables -j DROP), et
  • établissant le même point d’ancrage que le fichier Mozi original remplacé

Nous avons identifié deux versions de la charge utile de contrôle, la dernière fonctionnant comme une enveloppe contenant la première avec des modifications mineures, comme l’ajout d’une fonction pour pinger un serveur distant, probablement destinée à des fins statistiques.

Malgré la réduction drastique des fonctionnalités, les robots Mozi ont maintenu leur persistance, indiquant un retrait délibéré et calculé. Notre analyse du kill switch montre un lien étroit entre le code source d’origine du botnet et les binaires récemment utilisés, ainsi que l’utilisation des clés privées correctes pour signer la charge utile de contrôle (voir Figure 2).

Figure 2 Extraits de code de l'échantillon Mozi original (à gauche) par rapport à l'échantillon kill switch vu en 2023 (à droite)
Figure 2. Extraits de code de l’échantillon Mozi original (à gauche) par rapport à l’échantillon kill switch vu en 2023 (à droite)
Figure 3 Diagramme de flux de contrôle
Figure 3. Diagramme de flux de contrôle de l’échantillon Mozi original (à gauche) par rapport à l’échantillon kill switch vu en 2023 (à droite)

Cela nous amène à l’hypothèse suggérant deux auteurs potentiels de ce démantèlement : les créateurs du botnet Mozi, ou les forces de l’ordre chinoises forçant la coopération des créateurs. Le ciblage séquentiel des robots en Inde puis en Chine suggère que le retrait a été effectué délibérément, un pays étant ciblé en premier et l’autre une semaine plus tard.

Figure 4 Chronologie de Mozi
Figure 4. Chronologie de Mozi

La disparition de l’un des botnets IoT les plus prolifiques est un cas fascinant de cybercriminalité, nous fournissant des informations techniques fascinantes sur la manière dont ces botnets sauvages sont créés, exploités et démantelés. Nous poursuivons notre enquête sur cette affaire et publierons une analyse détaillée dans les mois à venir. Mais pour l’instant, la question demeure : qui a tué Mozi ?

Pour toute demande de renseignements sur nos recherches publiées sur WeLiveSecurity, veuillez nous contacter à [email protected].
ESET Research propose des rapports de renseignement et des flux de données APT privés. Pour toute demande de renseignements sur ce service, visitez le Intelligence des menaces ESET page.

IoC

Des dossiers

SHA-1

Nom de fichier

Détection

Description

758BA1AB22DD37F0F9D6FD09419BFEF44F810345

mozi.m

Linux/Mozi.A

Bot Mozi original.

9DEF707F156DD4B0147FF3F5D1065AA7D9F058AA

ud.7

Linux/Mozi.C

Bouton d’arrêt du robot Mozi.

Réseau

IP

Domaine

Fournisseur d’hébergement

Vu la première fois

Détails

157.119.75[.]16

N / A

AS135373 EFLYPRO-AS-AP EFLY NETWORK LIMITÉE

2023-09-20

Serveur d’hébergement Kill Switch

Techniques MITRE ATT&CK

Ce tableau a été construit à l’aide version 13 du cadre MITRE ATT&CK.

Tactique

IDENTIFIANT

Nom

Description

Développement des ressources

T1583.003

Acquérir une infrastructure : serveur privé virtuel

Les opérateurs de kill switch de Mozi ont loué un serveur à eflycloud.com pour héberger les fichiers de mise à jour.

Les opérateurs de kill switch de Mozi ont loué plusieurs serveurs qui envoient des charges utiles sur les réseaux BT-DHT.

Accès initial

T1190

Exploiter une application destinée au public

Les opérateurs du kill switch Mozi ont envoyé une commande de mise à jour aux clients Mozi sur un réseau BT-DHT.

Persistance

T1037.004

Scripts d’initialisation de démarrage ou de connexion : scripts RC

Le kill switch crée plusieurs scripts, tels que /etc/rc.d/rc.localpour établir la persistance.

Exfiltration

T1048.003

Exfiltration via un protocole alternatif : Exfiltration via un protocole non-C2 non chiffré

Le kill switch envoie un ping ICMP à l’opérateur, peut-être à des fins de surveillance.

Impact

T1489

Arrêt de service

Le kill switch arrête le service SSH et en bloque l’accès avec iptables.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici