Siber güvenlik araştırmacıları Mozi botnet’ini kimin çökertmiş olabileceğine dair teoriler geliştirdiler: Çin, Hindistan ve hatta botnet’in yaratıcılarının kendisi bile olabilirdi.
1 Kasım 2023’ün erken saatlerinde, ESET araştırmacıları dünyadaki en büyük ve en aktif IoT (Nesnelerin İnterneti) botnet’lerinden biri olan kötü şöhretli Mozi botnet’inin kasıtlı olarak yayından kaldırıldığını gözlemledi. Kaldırma işlemi muhtemelen Mozi’nin orijinal botnet yaratıcısı, Hintli veya Çinli kolluk kuvvetleri tarafından, belki de botnet operatörlerinin işbirliğine dahil edilmesi veya zorlanmasıyla gerçekleştirildi.
Mozi botnet’i, dağıtılmış hizmet reddi (DDoS) saldırıları, web kazıma saldırıları ve tıklama dolandırıcılığı saldırıları dahil olmak üzere çeşitli saldırıları başlatmak için kullanıldı. Ayrıca virüs bulaşmış cihazlardan kullanıcı adları, şifreler ve kredi kartı numaraları gibi verileri çalmak için de kullanıldı.
Yüz binlerce IoT cihazındaki güvenlik açıklarından yararlanmasıyla bilinen Mozi botnet, Ağustos 2023’te faaliyetlerinde beklenmedik bir düşüş yaşadı. İlk olarak 8 Ağustos 2023’te Hindistan’da ve bir hafta sonra 16 Ağustos’ta Çin’de gözlemlenen bu öngörülemeyen ortadan kaybolma, iptal edildi. Mozi botlarının işlevselliğinin önemli bir kısmını kaybetmesi siber güvenlik uzmanlarını şaşkına çevirdi ve merak uyandırdı.
Siber güvenlik araştırmacıları, 27 Eylül 2023’te bir kullanıcı datagram protokolü (UDP) mesajı içindeki bir durdurma anahtarını tespit ederek önemli bir atılımı ortaya çıkaran Mozi botnet’in yayından kaldırılmasını araştırmaya karar verdikleri yer burasıdır.
ESET’in raporuna göre araştırmacılar, BitTorrent’in dağıtılmış özensiz karma tablosu (BT-DHT) protokolünün olağan kapsüllemesinden yoksun bir kontrol verisi tespit etti. Bu kontrol yükü sekiz kez iletildi ve bota HTTP yoluyla bir güncelleme indirmesi ve yüklemesi talimatı verildi.
Kill switch, orijinal Mozi kötü amaçlı yazılımını sonlandırmak, belirli sistem hizmetlerini devre dışı bırakmak, cihaz yapılandırma komutlarını yürütmek ve değiştirilen orijinal Mozi dosyasıyla benzer bir dayanak oluşturmak da dahil olmak üzere birçok işlevi gösterdi.
Araştırmayı yürüten ESET araştırmacısı Ivan Bešina, “En üretken IoT zombi botnet’lerinden birinin ortadan kalkması, siber adli bilimin büyüleyici bir örneğidir ve bize bu tür botnet’lerin vahşi doğada nasıl oluşturulduğu, çalıştırıldığı ve parçalandığı konusunda ilgi çekici teknik bilgiler sağlar” diyor. Mozi’nin ortadan kaybolması.
İlginç bir şekilde ESET’in analizi, kontrol yükünün iki versiyonunu belirledi; en sonuncusu, ilkini içeren ve küçük değişiklikler içeren bir zarf işlevi görüyor. Özellikle, en son sürüm, muhtemelen istatistiksel amaçlarla uzak bir sunucuya ping atmak için ek bir işlev içeriyordu.
İşlevsellikteki azalma ciddi olsa da, Mozi botları kalıcılığını korudu ve bu da hesaplı bir kaldırma işlemine işaret ediyor. Araştırma, botnet’in kaynak kodu ile kullanılan ikili dosyalar arasında güçlü bir bağlantı olduğunu ve kontrol yükünü imzalamak için doğru özel anahtarların kullanıldığını ortaya çıkardı.
Peki Mozi botnet’ini kim öldürdü?
Kesin olarak söylemek zor. Ancak birkaç olası açıklama var. Olasılıklardan biri, orijinal Mozi botnet yaratıcısının botnet’i çökertmiş olmasıdır. İçerik oluşturucu bunu, botnet’in suç faaliyetlerinden uzaklaşmak istemek, botnet’in artık kârlı olmaması veya botnet’i başka bir tarafa satmak istemek gibi çeşitli nedenlerle yapmış olabilir.
Diğer bir olasılık ise Çin kolluk kuvvetlerinin botnet’i çökertmiş olmasıdır. Çin son yıllarda siber suçlarla mücadele ediyor ve Mozi botnet’inin kaldırılması da bu çabanın bir parçası olarak görülebilir.
Mozi botnet’ini kimin kaldırdığına bakılmaksızın, bu kaldırma siber güvenlik topluluğu için olumlu bir gelişme. Bu, en büyük ve en karmaşık botnet’lerin bile çökertilebileceğinin bir işaretidir ve siber suçluların yenilmez olmadığının bir hatırlatıcısıdır.
“Bu operasyonun iki potansiyel kışkırtıcısı var: Mozi’nin orijinal botnet yaratıcısı ya da Çin kolluk kuvvetleri, belki de orijinal aktör ya da aktörleri işbirliğine dahil ediyor ya da zorluyor. Hindistan’ın ve ardından Çin’in sırayla hedeflenmesi, önce bir ülkenin, bir hafta sonra diğerinin hedef alınmasıyla, yayından kaldırma işleminin kasıtlı olarak gerçekleştirildiğini gösteriyor” diye açıklıyor Bešina.
İLGİLİ MAKALELER
- Dünyanın En ‘Dayanıklı Kötü Amaçlı Yazılımı’ Botnet Emotet’i Kaldırıldı
- Qakbot Botnet Bozuldu, Dünya Çapında 700.000 Bilgisayara Etkilendi
- KmsdBot Kripto Madencilik Botnet’inin Çökmesine Neden Olan Bir Sözdizimi Hatası
- Siber Güvenlik şirketleri Trickbot fidye yazılımı botnet’ini ortadan kaldırıyor
- Milyonlarca Nesnelerin İnterneti Cihazının Desteklediği Rus Rsocks Botnet’i Dağıtıldı