安全研究人员称,他们观察到了他们认为是臭名昭著的Mozi僵尸网络被摧毁的情况,该网络渗透了全球超过一百万台物联网设备。网络安全公司ESET的研究人员在本周二分享的研究报告中称,他们在对Mozi僵尸网络的调查过程中目睹了Mozi的"突然消亡"。
Mozi是一个点对点物联网僵尸网络,利用弱telnet密码和已知漏洞劫持家用路由器和数字视频录像机。该僵尸网络由360Netlab于2019年首次发现,它利用大量这些被劫持的设备发起DDoS攻击、执行有效载荷和数据外渗。自2019年以来,Mozi已感染了150多万台设备,其中大部分--至少83万台设备来自中国。
微软在2021年8月警告说,Mozi通过调整其持久性机制,已经发展到可以在Netgear、华为和中兴生产的网络网关上实现持久性存在,同月,360Netlab宣布已协助中国执法部门逮捕Mozi的作者。
ESET在这些逮捕行动前一个月启动了对Mozi的调查,并表示今年8月发现Mozi的活动急剧下降。
ESET高级恶意软件研究员伊万-贝希纳(IvanBešina)表示,在此之前,该公司每天在全球范围内监测大约1200台独立设备。Bešina说:"我们在今年上半年看到了20万台独立设备,在2023年7月看到了4万台独立设备。"下降之后,我们的监测工具每天只能探测到约100台独立设备。"
这种下降首先出现在印度,其次是中国--这两个国家的受感染设备加起来占全球受感染设备总数的90%,她还补充说,俄罗斯是受感染第三多的国家,其次是泰国和韩国。
据ESET称,活动下滑的原因是MoziBots(受Mozi恶意软件感染的设备)的一次更新剥夺了它们的功能,ESET说它能够识别和分析导致Mozi消亡的开关。这个开关停止并替换了Mozi恶意软件,禁用了一些系统服务,执行了某些路由器和设备配置命令,并禁止了对各种端口的访问。
ESET称,其对杀毒开关的分析表明,僵尸网络的原始源代码与最近使用的二进制文件之间存在很强的联系,这表明这是一次"经过深思熟虑的清除行动"。研究人员说,这表明这次清除行动很可能是由最初的"Mozi"僵尸网络创建者或中国执法部门实施的,他们可能争取或迫使僵尸网络运营商合作。
"最大的证据是,这个致命开关更新是用正确的私钥签署的。没有这个,受感染的设备就不会接受和应用这个更新,"Bešina表示。"据我们所知,只有最初的Mozi操作员才能获得这个私人签名密钥。唯一可以合理获取这个私人签名密钥的其他方是在2021年7月抓获Mozi操作员的中国执法机构。"
Bešina补充说,ESET对恶意软件更新的代码分析表明,它一定是由相同的基础源代码编译而成的,只是原始Mozi的'精简版'。
Mozi是在联邦调查局攻陷并摧毁臭名昭著的Qakbot僵尸网络数周后被攻陷的,Qakbot僵尸网络是一个银行木马,因其在受害者的网络上为其他黑客提供初始立足点以购买访问权并发布自己的恶意软件而臭名昭著。
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】