Mozi kötü amaçlı yazılım botnet etkinliği, gizemli bilinmeyen bir tarafın 27 Eylül 2023’te tüm botları devre dışı bırakmak için bir kapatma anahtarını tetikleyen bir veri yükü göndermesinin ardından Ağustos ayında azaldı.
Mozi, 2019’da ortaya çıkan, öncelikle yönlendiriciler, dijital video kaydediciler ve diğer internete bağlı cihazlar gibi IoT cihazlarını hedef alan, iyi bilinen bir DDoS (dağıtılmış hizmet reddi) kötü amaçlı yazılım botnet’idir.
Kötü amaçlı yazılım, cihazları tehlikeye atmak ve onları BitTorrent’in DHT (dağıtılmış karma tablosu) protokolünü kullanarak iletişim kurdukları merkezi olmayan eşler arası ağının bir parçası haline getirmek için bilinen güvenlik açıklarından veya zayıf varsayılan şifrelerden yararlandı.
Mozi gizemli bir şekilde öldürüldü
Bugün ESET, telemetri verilerinin 8 Ağustos 2023’te Mozi aktivitesinde Hindistan’daki tüm operasyonların durmasıyla başlayan keskin bir düşüş gösterdiğini bildirdi.
Bunu, 16 Ağustos 2023’te botnet’in ortaya çıktığı Çin’deki faaliyetlerin benzer şekilde aniden sona ermesi izledi.
Son olarak, 27 Eylül 2023’te tüm Mozi botlarına sekiz kez bir UDP mesajı gönderilerek HTTP yoluyla bir güncelleme indirmeleri talimatı verildi ve bu mesaj aşağıdakilere neden oldu:
- Mozi kötü amaçlı yazılım sürecinin sonlandırılması,
- Belirli sistem hizmetlerinin (sshd ve dropbear) devre dışı bırakılması,
- Mozi dosyasının değiştirilmesi,
- Cihaz konfigürasyon komutlarının yürütülmesi,
- Çeşitli bağlantı noktalarına erişimin engellenmesi,
- Yeni dosya için bir dayanak noktası oluşturun.
Öldürme anahtarına basan kişinin, izlemeye yardımcı olmak için uzak bir sunucuya ping atabilen yeni yük için kalıcılığı sürdürmeyi tercih etmesi, kontrollü bir yayından kaldırma anlamına gelir.
ESET’in kod analizi, orijinal Mozi kodu ile kaldırma işleminde kullanılan ve yükü imzalamak için doğru özel anahtarları içeren ikili dosyalar arasında güçlü benzerlikler olduğunu gösterdi.
Bu, orijinal botnet yaratıcılarının ve/veya Çin yasa uygulayıcılarının yayından kaldırma işlemine dahil olduğuna işaret ediyor, ancak şimdilik bu cevapsız kalıyor.
En üretken botnet’lerden birinin çevrimdışı olacağı yönündeki iyi haberlere rağmen, ne yazık ki, savunmasız Nesnelerin İnterneti’ni bulmak için web’i her gün tarayan çok daha fazla DDoS kötü amaçlı yazılım botnet’i var.
Bu nedenle kullanıcılar, cihazlarına en son firmware sürümünü kullanarak yama yapmalı, güçlü şifreler kullanmalı ve onları kritik ağlardan izole etmelidir.