Хакер #305. Многошаговые SQL-инъекции
Специалисты строят теории о загадочном отключении ботнета Mozi, который недавно был ликвидирован с помощью специального «рубильника», предназначенного для деактивации всех ботов.
Mozi — давно известный DDoS-ботнет, появившийся еще в 2019 году и нацеленный в первую очередь на IoT-устройства, такие как маршрутизаторы, DVR и другие гаджеты, подключенные к интернету. Эта малварь использовала известные уязвимости и слабые пароли для компрометации устройств и включения их в свою P2P-сеть, где они взаимодействовали с помощью протокола BitTorrent DHT.
В июне 2021 года китайская ИБ-компания Qihoo 360 сообщала, что Mozi насчитывает около 1,5 млн зараженных устройство, более 800 000 находятся в Китае. Спустя несколько недель после этого компания рассказала, что помогала правоохранительным органам в аресте предполагаемых разработчиков Mozi, отметив при этом, что сам ботнет, скорее всего, сохранит жизнеспособность и продолжит работу.
Как сообщают теперь специалисты компании ESET, резкое падение активности Mozi началось еще 8 августа 2023 года, начиная с остановки всех операций ботнета в Индии. За этим, 16 августа 2023 года, последовало аналогичное внезапное прекращение деятельности в Китае, на родине ботнета.
Затем, 27 сентября 2023 года всем ботам Mozi восемь раз было отправлено одинаковое UDP-сообщение с указанием загрузить обновление через HTTP, которое привело к следующему:
- ликвидация вредоносного процесса Mozi;
- отключение некоторых системных служб (sshd и dropbear);
- замена файла Mozi;
- выполнение команд конфигурации на устройстве;
- блокировка доступа к различным портам;
- создание плацдарма для нового файла.
Исследователи считают, что это была контролируемая ликвидация, так как человек, активировавший этот «рубильник», решил подготовить зараженные системы для новой полезной нагрузки, которая может пинговать удаленный сервер.
Анализ кода, проведенный исследователями, показал значительное сходство между оригинальным кодом Mozi и бинарными файлами, использованными при уничтожении ботнета, в которых были указаны корректные приватные ключи для подписи пейлоада. По мнению специалистов, это намекает на причастность к уничтожению ботнета его создателей или китайских правоохранительных органов.
«Уничтожение одного из самых мощных IoT-ботнетов представляет собой интересный случай с точки зрения киберкриминалистики, дающий нам интригующую техническую информацию о том, как создаются, работают и ликвидируются подобные ботнеты», — пишут аналитики ESET.