网络第5域

安全研究人员观察到臭名昭著的Mozi物联网僵尸网络被“有意摧毁”

字号+作者: 来源:cnBeta.COM 2023-11-01 19:49 评论(创建话题) 收藏成功收藏本文

安全研究人员称,他们观察到了他们认为是臭名昭著的Mozi僵尸网络被摧毁的情况,该网络渗透了全球超过一百万台物联网设备。网络安全公司ESET的研究人员在本'...

安全研究人员称,他们观察到了他们认为是臭名昭著的Mozi僵尸网络被摧毁的情况,该网络渗透了全球超过一百万台物联网设备。网络安全公司ESET的研究人员在本周二分享的研究报告中称,他们在对Mozi僵尸网络的调查过程中目睹了Mozi的"突然消亡"。h3m品论天涯网

h3m品论天涯网

Mozi是一个点对点物联网僵尸网络,利用弱telnet密码和已知漏洞劫持家用路由器和数字视频录像机。该僵尸网络由360Netlab于2019年首次发现,它利用大量这些被劫持的设备发起DDoS攻击、执行有效载荷和数据外渗。自2019年以来,Mozi已感染了150多万台设备,其中大部分--至少83万台设备来自中国。h3m品论天涯网

微软在2021年8月警告说,Mozi通过调整其持久性机制,已经发展到可以在Netgear、华为和中兴生产的网络网关上实现持久性存在,同月,360Netlab宣布已协助中国执法部门逮捕Mozi的作者。h3m品论天涯网

ESET在这些逮捕行动前一个月启动了对Mozi的调查,并表示今年8月发现Mozi的活动急剧下降。h3m品论天涯网

ESET高级恶意软件研究员伊万-贝希纳(IvanBešina)表示,在此之前,该公司每天在全球范围内监测大约1200台独立设备。Bešina说:"我们在今年上半年看到了20万台独立设备,在2023年7月看到了4万台独立设备。"下降之后,我们的监测工具每天只能探测到约100台独立设备。"h3m品论天涯网

这种下降首先出现在印度,其次是中国--这两个国家的受感染设备加起来占全球受感染设备总数的90%,她还补充说,俄罗斯是受感染第三多的国家,其次是泰国和韩国。h3m品论天涯网

据ESET称,活动下滑的原因是MoziBots(受Mozi恶意软件感染的设备)的一次更新剥夺了它们的功能,ESET说它能够识别和分析导致Mozi消亡的开关。这个开关停止并替换了Mozi恶意软件,禁用了一些系统服务,执行了某些路由器和设备配置命令,并禁止了对各种端口的访问。h3m品论天涯网

ESET称,其对杀毒开关的分析表明,僵尸网络的原始源代码与最近使用的二进制文件之间存在很强的联系,这表明这是一次"经过深思熟虑的清除行动"。研究人员说,这表明这次清除行动很可能是由最初的"Mozi"僵尸网络创建者或中国执法部门实施的,他们可能争取或迫使僵尸网络运营商合作。h3m品论天涯网

"最大的证据是,这个致命开关更新是用正确的私钥签署的。没有这个,受感染的设备就不会接受和应用这个更新,"Bešina表示。"据我们所知,只有最初的Mozi操作员才能获得这个私人签名密钥。唯一可以合理获取这个私人签名密钥的其他方是在2021年7月抓获Mozi操作员的中国执法机构。"h3m品论天涯网

Bešina补充说,ESET对恶意软件更新的代码分析表明,它一定是由相同的基础源代码编译而成的,只是原始Mozi的'精简版'。h3m品论天涯网

Mozi是在联邦调查局攻陷并摧毁臭名昭著的Qakbot僵尸网络数周后被攻陷的,Qakbot僵尸网络是一个银行木马,因其在受害者的网络上为其他黑客提供初始立足点以购买访问权并发布自己的恶意软件而臭名昭著。h3m品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]