Botnet Mozi desaparece de forma repentina

A botnet Mozi, conhecido por ter como alvo dispositivos de IoT, foi encerrado de forma repentina, suscitando especulações de que terá sido desligado pelos seus criadores a pedido das autoridades chinesas.

Em 2019, o Mozi foi observado pela primeira vez e foi atribuído à botnet Mirai devido à sobreposição de código. Um ano depois, em 2020, a equipa de investigadores da IBM X-Force concluíram que a atividade maliciosa do Mozi foi responsável por quase 90% do tráfego de rede IoT observado.

A botnet tem continuado a infetar diariamente milhares de dispositivos por todo o mundo. No entanto, durante o mês de agosto, a Eset Research verificou uma queda repentina na atividade do Mozi. “A mudança foi causada por uma atualização dos bots Mozi que retirou a sua funcionalidade”, afirmaram os investigadores.

De acordo com os dados de telemetria da empresa, observou-se um declínio acentuado da atividade da botnet, incluindo uma paralisação completa das operações da botnet na Índia, no dia 8 de agosto. Oito dias depois, ocorreu uma paralisação semelhante na China, o país origem do Mozi. 

Uma investigação aprofundada revelou descobertas sobre um kill switch a 27 de setembro, que os investigadores puderam analisar para determinar a causa do desaparecimento da botnet. 

“Identificámos a carga útil de controlo (arquivo de configuração) dentro de uma mensagem de protocolo de datagrama de utilizador (UDP) que tinha em falta o encapsulamento típico do protocolo de distributed sloppy hash table (BT-DHT) do BitTorrent”, explicaram. “A pessoa por trás da remoção enviou a carga de controlo oito vezes, cada vez instruindo o bot a fazer download e a instalar uma atualização de si mesmo via HTTP”.

O kill switch desligou o malware Mozi original, desativou alguns serviços do sistema, substituiu o arquivo Mozi original por ele mesmo, executou comandos de configuração de roteador/dispositivo, desativou o acesso a várias portas e estabeleceu a mesma base do arquivo original que substituiu.

“Apesar da redução drástica na funcionalidade, os bots Mozi mantiveram a persistência, indicando uma remoção deliberada e calculada”, concluíram os investigadores. “A nossa análise do kill switch mostra uma forte conexão entre o código-fonte original da botnet e os binários usados recentemente, e também o uso das chaves privadas corretas para assinar a carga de controlo”.

Ivan Bešina, um dos investigadores que participou na análise do desaparecimento da botnet, afirmou que os encerramentos sequenciais – primeiro na Índia e, uma semana depois, na China – sugerem um exercício de remoção deliberado.

“Existem dois potenciais instigadores para esta remoção: o criador original da botnet Mozi ou as autoridades chinesas, talvez a recrutar ou a forçar a cooperação do ator ou atores originais”, deduz Bešina.