IoT Zombie botnet Mozi’nin aktivitesinde ani bir düşüş kaydedildi
ESET araştırmacıları, en üretken Nesnelerin İnterneti (IoT) botnet’lerinden biri olan Mozi’nin, 2019’dan bu yana her yıl yüz binlerce cihazın kötüye kullanılmasından sorumlu olan Mozi’nin ani çöküşünü gözlemledi.
ESET Araştırması yakın zamanda, her yıl yüz binlerce IoT cihazındaki güvenlik açıklarından yararlanmasıyla ünlü, en üretken Nesnelerin İnterneti (IoT) botnet’lerinden biri olan Mozi’nin ortadan kaybolduğunu gözlemledi. Kullanıcı Datagram Protokolü (UDP), Hindistan’da başlayan ve bir hafta sonra Çin’de de gözlemlenen botnet aktivitesinde beklenmedik bir düşüş gözlemledi. Değişikliğe Mozi botlarının işlevselliğini kaldıran bir güncelleme neden oldu. Bu olaylardan birkaç hafta sonra ESET araştırmacıları Mozi’nin yok olmasına neden olan kapatma anahtarını tespit edip analiz etti.
Mozi’nin ortadan kaldırılmasını analiz eden ESET araştırmacısı Ivan Bešina şunları söyledi: “En verimli IoT botnet’lerinden birinin ortadan kaldırılması, siber adli bilimin büyüleyici bir örneğidir ve bize bu tür botnet’lerin nasıl oluşturulduğu, çalıştırıldığı ve ortadan kaldırıldığı konusunda ilgi çekici teknik bilgiler sağlar. ”
27 Eylül 2023’te ESET araştırmacıları, bir UDP mesajının içinde tipik içeriğin eksik olduğu bir kontrol yükünü (yapılandırma dosyası) fark etti. Bu dosyanın yeni işlevi aslında Mozi’yi ortadan kaldırmaktan sorumlu olan kill anahtarı görevi görmekti. Kill switch, ana işlemi (orijinal Mozi kötü amaçlı yazılımı) durdurdu ve belirli sistem hizmetlerini devre dışı bıraktı. Orijinal Mozi belgesini kendisiyle değiştirdi, makul yönlendirici/cihaz yapılandırma komutlarını yürüttü ve çeşitli iletişim noktalarına erişimi devre dışı bıraktı. İşlevsellikteki önemli azalmaya rağmen Mozi botları kalıcı olmaya devam etti; bu da kasıtlı ve hesaplı bir kaldırma sürecinin göstergesiydi. ESET’in kill switch analizi, botnet’in orijinal kaynak kodu ile yakın zamanda kullanılan ve doğru özel anahtarlar tarafından imzalanan kontrol verileri arasında güçlü bir bağlantı olduğunu gösterdi.
Bešina şöyle devam etti: “Bu operasyonun iki potansiyel nedeni var: Mozi’nin yepyeni botnet yaratıcısı ya da muhtemelen yeni aktörü veya aktörleri işbirliği yapmaya zorlayan veya zorlayan Çin kolluk kuvvetleri. Botların sırasıyla Hindistan’ı ve ardından Çin’i hedef alması, önce bir ülkeyi, bir hafta sonra da diğerini hedef alması, yayından kaldırma işleminin kasıtlı olduğunu gösteriyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
