En una investigación compartida con TechCrunch antes de su publicación el martes, los investigadores de la firma de ciberseguridad ESET dicen que fueron testigos de la «muerte repentina» de Mozi durante una investigación sobre la botnet.
Mozi es una botnet peer-to-peer del Internet de las cosas que explota contraseñas de telnet débiles y exploits conocidos para secuestrar enrutadores domésticos y grabadoras de vídeo digitales. La botnet, descubierta por primera vez en 2019 por 360 Netlab, utiliza muchos de estos dispositivos secuestrados para lanzar ataques DDoS, ejecución de carga útil y filtración de datos. Mozi ha infectado más de 1,5 millones de dispositivos desde 2019, y la mayoría (al menos 830.000 dispositivos) se originan en China.
Microsoft advirtió en agosto de 2021 que Mozi había evolucionado para lograr persistencia en las puertas de enlace de red fabricadas por Netgear, Huawei y ZTE adaptando sus mecanismos de persistencia. Ese mismo mes, 360 Netlab Anunciado que había ayudado en una operación policial china para arrestar a los autores de Mozi.
ESET, que inició una investigación sobre Mozi un mes antes de estos arrestos, dijo que observó una caída dramática en la actividad de Mozi en agosto de este año.
Ivan Bešina, investigador senior de malware de ESET, dijo a TechCrunch que antes de esto, la compañía monitoreaba aproximadamente 1200 dispositivos únicos diariamente en todo el mundo. «Vimos 200.000 dispositivos únicos en la primera mitad de este año y 40.000 dispositivos únicos en julio de 2023», dijo Bešina. «Después de la interrupción, nuestra herramienta de monitoreo solo pudo sondear alrededor de 100 dispositivos únicos por día».
Esta caída se observó por primera vez en India y seguida por China, que en conjunto representan el 90% de todos los dispositivos infectados en todo el mundo, dijo Bešina a TechCrunch, y agregó que Rusia es el tercer país más infectado, seguido de Tailandia y Corea del Sur.
La caída en la actividad fue causada por una actualización de los bots de Mozi (dispositivos infectados por el malware Mozi) que eliminó su funcionalidad, según ESET, que dijo que pudo identificar y analizar el interruptor de apagado que causó la muerte de Mozi. Este interruptor de parada detuvo y reemplazó el malware Mozi, deshabilitó algunos servicios del sistema, ejecutó ciertos comandos de configuración de enrutadores y dispositivos y deshabilitó el acceso a varios puertos.
ESET afirma que su análisis del interruptor de apagado, que mostró una fuerte conexión entre el código fuente original de la botnet y los archivos binarios utilizados recientemente, indica una «eliminación deliberada y calculada». Los investigadores dicen que esto sugiere que la eliminación probablemente fue llevada a cabo por el creador original de la botnet Mozi o por las autoridades chinas, tal vez reclutando u obligando a los operadores de la botnet a cooperar.
“La mejor evidencia es que esta actualización del interruptor de emergencia se firmó con la clave privada correcta. Sin esto, los dispositivos infectados no aceptarían ni aplicarían esta actualización”, dijo Bešina a TechCrunch. “Hasta donde sabemos, sólo los operadores originales de Mozi tenían acceso a esta clave de firma privada. La única otra parte que razonablemente podría adquirir esta clave de firma privada es la agencia policial china que arrestó a los operadores de Mozi en julio de 2021”.
Bešina agregó que el análisis de ESET de las actualizaciones del interruptor de apagado mostró que debe haber sido compilado a partir de la misma base de código fuente. «La nueva actualización del interruptor de apagado es sólo una versión ‘simplificada’ del Mozi original», dijo Bešina.
La aparente caída de Mozi se produce semanas después de que el FBI desmantelara la notoria botnet Qakbot, un troyano bancario que se hizo famoso por proporcionar un punto de apoyo temprano en la red de una víctima para que otros piratas informáticos compraran acceso y entregaran su propio malware.
