- Les experts d'ESET ont constaté la subite cessation d'activité d'un des botnets les plus actifs reposant sur des objets connectés (IoT) : Mozi. Il est responsable de l'infection de plusieurs centaines de milliers d'appareils par an depuis 2019.
- ESET a observé une baisse de l'activité de Mozi en Inde et en Chine en août, découvrant plus tard qu’un kill switch a désactivé le malware du bot Mozi.
- Il y a deux acteurs potentiellement à l’origine de ce démantèlement : le créateur original du botnet Mozi ou les forces de l'ordre chinoises, peut-être en incitant ou en forçant la coopération de l'acteur ou des acteurs originaux. Le ciblage initial de l'Inde, puis de la Chine, suggère que le démantèlement a été effectué délibérément, un pays étant visé en premier puis l'autre une semaine plus tard.
BRATISLAVA — 1er novembre 2023 — ESET Research a récemment observé la disparition soudaine de l'un des botnet reposant sur des objets connectés (IoT), nommé Mozi. Celui-ci est tristement connu pour exploiter les vulnérabilités de centaines de milliers d'appareils IoT chaque année. Une baisse inattendue de son activité a été observée (protocole UDP (User Datagram Protocol)) Celle-ci a débuté en Inde et a également été observée en Chine une semaine plus tard. Le changement a été causé par une mise à jour des bots Mozi. Cette mise à jour a supprimé des fonctionnalités du logiciel malveillant. Quelques semaines après ces événements, les chercheurs d'ESET ont été en mesure d'identifier et d'analyser le kill switch qui a causé la mort de Mozi.
« La disparition de l'un des botnets IoT les plus prolifiques est un cas fascinant de cybercriminalistique, qui nous fournit des informations techniques intrigantes sur la façon dont de tels botnets sont créés, exploités et démantelés dans la nature », explique Ivan Bešina, chercheur chez ESET, qui a enquêté sur la disparition de Mozi.
Le 27 septembre 2023, les chercheurs d'ESET ont repéré la fonction de contrôle (fichier de configuration) à l'intérieur d'un message UDP. Le kill switch a arrêté le processus parent – le logiciel malveillant Mozi d'origine – et a désactivé certains services système, remplacé le fichier Mozi d'origine par lui-même, exécuté certaines commandes de configuration du routeur/périphérique et désactivé l'accès à divers ports.
Malgré la réduction drastique des fonctionnalités, les bots Mozi ont maintenu leur persistance, ce qui indique un démantèlement délibéré et calculé. L'analyse ESET du kill switch a montré un lien étroit entre le code source d'origine du botnet et les charges utiles de contrôle récemment utilisées qui ont été signées par les clés privées appropriées.
« Il y a deux instigateurs potentiels de ce démantèlement : le créateur original du botnet Mozi ou les forces de l'ordre chinoises, qui recrutent ou forcent peut-être la coopération de l'acteur ou des acteurs originaux. Le ciblage séquentiel de l'Inde, puis de la Chine, suggère que le démantèlement a été effectué délibérément, un pays étant ciblé en premier et l'autre une semaine plus tard », explique Bešina.
Pour plus d'informations techniques sur la disparition du botnet Mozi, consultez l'article de blog « Qui a tué Mozi ? Enfin mettre le botnet zombie IoT dans sa tombe » Assurez-vous de suivre ESET Research sur Twitter (maintenant connu sous le nom de X) pour les dernières nouvelles d'ESET Research.
Contact Presse :
Jolya COHOUNDO : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.