Pesquisadores de segurança dizem ter observado o que acreditam ser a derrubada do notório botnet Mozi, que se infiltrou em mais de um milhão de dispositivos da Internet das Coisas em todo o mundo.
Em uma pesquisa compartilhada com o TechCrunch antes da publicação na terça-feira, pesquisadores da empresa de segurança cibernética ESET dizem que testemunharam o “morte repentino” de Mozi durante uma investigação sobre o botnet.
Mozi é um botnet ponto a ponto da Internet das Coisas que explora senhas fracas de telnet e explorações conhecidas para sequestrar roteadores domésticos e gravadores de vídeo digital. A botnet, descoberta pela primeira vez em 2019 pela 360 Netlab, usa muitos desses dispositivos sequestrados para lançar ataques DDoS, execução de carga útil e exfiltração de dados. Mozi infectou mais de 1,5 milhão de dispositivos desde 2019, sendo a maioria – pelo menos 830.000 dispositivos – originários da China.
A Microsoft alertou em agosto de 2021 que o Mozi evoluiu para alcançar persistência em gateways de rede fabricados pela Netgear, Huawei e ZTE, adaptando seus mecanismos de persistência. Nesse mesmo mês, 360 Netlab anunciado que tinha ajudado numa operação policial chinesa para prender os autores de Mozi.
A ESET, que lançou uma investigação sobre Mozi um mês antes destas detenções, disse ter observado uma queda dramática na actividade de Mozi em Agosto deste ano.
Ivan Bešina, pesquisador sênior de malware da ESET, disse ao TechCrunch que a empresa monitorava aproximadamente 1.200 dispositivos exclusivos diariamente em todo o mundo antes disso. “Vimos 200.000 dispositivos exclusivos no primeiro semestre deste ano e 40.000 dispositivos exclusivos em julho de 2023”, disse Bešina. “Após a queda, nossa ferramenta de monitoramento só conseguiu sondar cerca de 100 dispositivos únicos diariamente.”
Esta queda foi observada primeiro na Índia e seguida pela China – que juntas representam 90% de todos os dispositivos infectados em todo o mundo – Bešina disse ao TechCrunch, acrescentando que a Rússia é o terceiro país mais infectado, seguida pela Tailândia e pela Coreia do Sul.
A queda na atividade foi causada por uma atualização dos bots Mozi – dispositivos infectados pelo malware Mozi – que retirou sua funcionalidade, de acordo com a ESET, que disse ter sido capaz de identificar e analisar o kill switch que causou a morte do Mozi. Este kill switch interrompeu e substituiu o malware Mozi, desativou alguns serviços do sistema, executou determinados comandos de configuração de roteadores e dispositivos e desativou o acesso a várias portas.
A ESET afirma que sua análise do kill switch, que mostrou uma forte conexão entre o código-fonte original da botnet e os binários usados recentemente, indica uma “remoção deliberada e calculada”. Os pesquisadores dizem que isso sugere que a remoção provavelmente foi realizada pelo criador original do botnet Mozi ou pelas autoridades chinesas, talvez recrutando ou forçando a cooperação dos operadores do botnet.
“A maior evidência é que esta atualização do kill switch foi assinada com a chave privada correta. Sem isso, os dispositivos infectados não aceitariam e aplicariam esta atualização”, disse Bešina ao TechCrunch. “Tanto quanto sabemos, apenas os operadores originais do Mozi tiveram acesso a esta chave de assinatura privada. A única outra parte que poderia razoavelmente adquirir esta chave de assinatura privada é a agência chinesa de aplicação da lei que prendeu os operadores Mozi em julho de 2021.”
Bešina acrescentou que a análise da ESET das atualizações do kill switch mostrou que ele deve ter sido compilado a partir do mesmo código-fonte base. “A nova atualização do kill switch é apenas uma versão ‘simplificada’ do Mozi original”, disse Bešina.
A aparente derrubada do Mozi ocorre semanas depois que o FBI derrubou e desmantelou o notório botnet Qakbot, um trojan bancário que se tornou famoso por fornecer uma posição inicial na rede da vítima para que outros hackers comprassem acesso e entregassem seu próprio malware.