Fin septembre 2023, « Mozi » a soudainement pris fin. Jusqu’à fin septembre 2023, le botnet IoT attaquait chaque année les vulnérabilités de centaines de milliers d’appareils IoT. Les forces de l'ordre chinoises pourraient être responsables de la fermeture.
Le botnet de l'Internet des objets Mozi a exploité chaque année jusqu'à fin septembre 2023 les vulnérabilités de centaines de milliers d'appareils IoT tels que des routeurs Internet ou des enregistreurs vidéo numériques, y compris en Allemagne. Mozi pourrait l'utiliser pour lancer des attaques DDoS (Distributed Denial of Service), exfiltrer des données ou exécuter des commandes arbitraires. Les chercheurs d’ESET ont pu prouver qu’un « kill switch » annonçait la fin de Mozi et que les forces de l’ordre chinoises pourraient être à l’origine de cette fermeture.
La fermeture de Mozi est devenue apparente dès le début
Même avant la fermeture de Mozi, ESET a observé une baisse inattendue de l'activité des botnets via le protocole UDP (User Datagram Protocol). Cela a commencé en Inde et s’est poursuivi sept jours plus tard en Chine. Quelques semaines plus tard, l’équipe ESET dirigée par Ivan Bešina a identifié et analysé le kill switch qui a scellé la fin de Mozi. En informatique, l'interrupteur d'arrêt d'urgence est utilisé pour éteindre ou arrêter un appareil ou un programme en cas d'urgence.
« La chute de l’un des botnets IoT les plus prolifiques constitue un cas fascinant pour la cybercriminalité. Cela nous fournit des informations techniques intéressantes sur la manière dont ces botnets sont développés, exploités et détruits dans la nature », explique Ivan Bešina, chercheur à ESET.
Via mise à jour jusqu'à la fin
Les robots Mozi ont perdu leurs fonctionnalités en raison d'une mise à jour manipulée. Le 27 septembre 2023, les chercheurs d'ESET ont découvert un fichier de configuration dans un message UDP dont le contenu typique était manquant. Au lieu de cela, il a agi comme un coupe-circuit. Cela a arrêté le logiciel malveillant Mozi d'origine, désactivé certains services système, remplacé le fichier Mozi d'origine par lui-même, exécuté certaines commandes de configuration du routeur/périphérique et désactivé l'accès à divers ports. Malgré la réduction drastique des fonctionnalités, les robots Mozi ont persisté, indiquant un arrêt planifié. L'analyse du kill switch par ESET a révélé un lien étroit entre le code source d'origine du botnet et le fichier de configuration final, suggérant un arrêt par les créateurs du malware - de leur propre gré ou sous la contrainte.
L'auteur n'est pas clairement identifié
« Il y a deux causes possibles à cette panne. D’une part, il s’agirait du créateur original du botnet Mozi lui-même, mais d’autre part, des preuves suggèrent que les autorités chinoises chargées de l’application des lois pourraient avoir forcé le ou les acteurs d’origine à coopérer. Le fait que l’Inde puis la Chine aient été ciblées pourrait montrer que la perturbation était délibérée », explique Bešina.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.