ESET Research: le tristement célèbre botnet IoT Mozi supprimé par un kill switch
Publié le 02/11/2023 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
• Les chercheurs d'ESET ont observé la disparition soudaine d’un des botnets IoT (Internet of things) les plus prolifiques : Mozi, responsable, depuis 2019, d’abus sur des centaines de milliers d'appareils par an.
• En août, ESET a observé une baisse de l'activité de Mozi en Inde et en Chine, découvrant plus tard un kill switch qui désactivait le malware et privait les botnets Mozi de leurs fonctionnalités.
• Il y a deux instigateurs potentiels pour ce démantèlement : le créateur du botnet Mozi lui-même ou les autorités chinoises, qui peuvent éventuellement solliciter ou forcer la coopération du ou des acteurs d'origine. Le ciblage séquentiel de l’Inde puis de la Chine laisse à penser que le retrait a été effectué délibérément, un premier pays est ciblé puis l’autre une semaine plus tard.

Le 1er novembre 2023 — ESET Research a observé récemment la disparition soudaine de Mozi, un des botnets IoT les plus prolifiques, tristement célèbre pour exploiter chaque année les vulnérabilités de centaines de milliers d'appareils IoT. Le Protocole Datagramme Utilisateur (UDP) a observé une baisse inattendue d’activité qui a débuté en Inde et a été observée en Chine une semaine plus tard. Le changement était provoqué par une mise à jour des botnets Mozi qui les a dépouillés de leurs fonctionnalités. Quelques semaines plus tard, les chercheurs d’ESET ont pu identifier et analyser le kill switch qui a provoqué la disparition de Mozi.

"La disparition d'un des réseaux de botnets IoT les plus prolifiques est un cas de cybercriminalité extrêmement intéressant. Il nous fournit des informations techniques surprenantes sur la manière dont de tels réseaux – in the wild - sont créés, exploités et démantelés ", explique Ivan Bešina, le chercheur d'ESET, qui a enquêté sur la disparition de Mozi.

Le 27 septembre 2023, les chercheurs d'ESET ont découvert la charge de contrôle utile (fichier de configuration) dans un message UDP dont le contenu typique était manquant ; sa nouvelle tâche consistait à agir comme le kill switch responsable de la suppression de Mozi. Ce kill switch a stoppé le processus parental – le maliciel Mozi d'origine – et désactivé certains services du système, remplacé le fichier Mozi d'origine par lui-même, exécuté certaines commandes de configuration du routeur et/ou des périphériques et désactivé l'accès à divers ports.

Bien que leurs fonctionnalités soient fortement réduites, les robots Mozi ont maintenu leur persistance, ce qui indique un retrait délibéré et calculé. L’analyse du kill switch faite par ESET a démontré un lien étroit entre le code source d’origine du botnet et les charges utiles de contrôle récemment utilisées et signées par les clés privées correspondantes.

« Il y a deux instigateurs potentiels pour ce démantèlement : le créateur d’origine de Mozi ou les autorités chinoises, qui ont peut-être mobilisé ou forcé la coopération du ou des acteurs d'origine. Le ciblage de l’Inde puis de la Chine font penser que le démantèlement a été effectué délibérément, car un premier pays était visé puis le second une semaine plus tard », explique Bešina.

Pour plus d'informations techniques, lisez le blog sur www.welivesecurity.com. Suivez également ESET Research sur Twitter (maintenant connu sous le nom de X) ESET Research on Twitter pour les dernières nouvelles concernant ESET Research.

A propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?