ESET Research découvre que l’arrêt du botnet IoT Mozi s’est effectué par un kill switch

  • Les experts d'ESET ont constaté la subite cessation d'activité d'un des botnets les plus actifs reposant sur des objets connectés (IoT) : Mozi. Il est responsable de l'infection de plusieurs centaines de milliers d'appareils par an depuis 2019.
  • ESET a observé une baisse de l'activité de Mozi en Inde et en Chine en août, découvrant plus tard qu’un kill switch a désactivé le malware du bot Mozi.
  • Il y a deux acteurs potentiellement à l’origine de ce démantèlement : le créateur original du botnet Mozi ou les forces de l'ordre chinoises, peut-être en incitant ou en forçant la coopération de l'acteur ou des acteurs originaux. Le ciblage initial de l'Inde, puis de la Chine, suggère que le démantèlement a été effectué délibérément, un pays étant visé en premier puis l'autre une semaine plus tard.

BRATISLAVA — 1er novembre 2023 — ESET Research a récemment observé la disparition soudaine de l'un des botnet reposant sur des objets connectés (IoT), nommé Mozi. Celui-ci est tristement connu pour exploiter les vulnérabilités de centaines de milliers d'appareils IoT chaque année. Une baisse inattendue de son activité a été observée (protocole UDP (User Datagram Protocol)) Celle-ci a débuté en Inde et a également été observée en Chine une semaine plus tard. Le changement a été causé par une mise à jour des bots Mozi. Cette mise à jour a supprimé des fonctionnalités du logiciel malveillant. Quelques semaines après ces événements, les chercheurs d'ESET ont été en mesure d'identifier et d'analyser le kill switch qui a causé la mort de Mozi.

« La disparition de l'un des botnets IoT les plus prolifiques est un cas fascinant de cybercriminalistique, qui nous fournit des informations techniques intrigantes sur la façon dont de tels botnets sont créés, exploités et démantelés dans la nature », explique Ivan Bešina, chercheur chez ESET, qui a enquêté sur la disparition de Mozi.

Le 27 septembre 2023, les chercheurs d'ESET ont repéré la fonction de contrôle (fichier de configuration) à l'intérieur d'un message UDP. Le kill switch a arrêté le processus parent – le logiciel malveillant Mozi d'origine – et a désactivé certains services système, remplacé le fichier Mozi d'origine par lui-même, exécuté certaines commandes de configuration du routeur/périphérique et désactivé l'accès à divers ports.

Malgré la réduction drastique des fonctionnalités, les bots Mozi ont maintenu leur persistance, ce qui indique un démantèlement délibéré et calculé. L'analyse ESET du kill switch a montré un lien étroit entre le code source d'origine du botnet et les charges utiles de contrôle récemment utilisées qui ont été signées par les clés privées appropriées.

« Il y a deux instigateurs potentiels de ce démantèlement : le créateur original du botnet Mozi ou les forces de l'ordre chinoises, qui recrutent ou forcent peut-être la coopération de l'acteur ou des acteurs originaux. Le ciblage séquentiel de l'Inde, puis de la Chine, suggère que le démantèlement a été effectué délibérément, un pays étant ciblé en premier et l'autre une semaine plus tard », explique Bešina.

Pour plus d'informations techniques sur la disparition du botnet Mozi, consultez l'article de blog « Qui a tué Mozi ? Enfin mettre le botnet zombie IoT dans sa tombe » Assurez-vous de suivre  ESET Research sur Twitter  (maintenant connu sous le nom de X) pour les dernières nouvelles d'ESET Research.

Contact Presse :

Jolya COHOUNDO : +33 07 76 99 70 29 -  jolya.c@eset-nod32.fr

 

À propos d'ESET

Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.
 

Pour plus d’informations, consultez www.eset.com/fr 
et suivez-nous sur LinkedIn, Facebook et Instagram.