Kill Switch Botnet Mozi
Penurunan tak terduga dalam aktivitas jahat yang terkait dengan botnet Mozi pada Agustus 2023 disebabkan oleh tombol pemutus (kill switch) yang didistribusikan ke bot, kill switch botnet Mozi.
Pertama, penurunan terjadi di India pada 8 Agustus, menurut ESET dalam analisis yang diterbitkan belum lama ini. Pada tanggal 16 Agustus, hal yang sama terjadi di Tiongkok.
|
Baca juga: Panduan Menghadapi Serangan Botnet |
Persistensi Mozi
Meskipun muatan kontrol misterius alias tombol pemutus (kill switch) menghilangkan sebagian besar fungsi bot Mozi, mereka tetap bertahan.
Mozi adalah botnet Internet of Things (IoT) yang muncul dari kode sumber beberapa keluarga malware yang dikenal, seperti Gafgyt, Mirai, dan IoT Reaper.
Pertama kali ditemukan pada tahun 2019, ia diketahui mengeksploitasi kata sandi akses jarak jauh yang lemah dan default serta kerentanan keamanan yang belum ditambal untuk akses awal.
Pada bulan September 2021, peneliti perusahaan keamanan siber mengungkapkan penangkapan operator botnet oleh otoritas Tiongkok.
|
Baca juga: Hitam Kelamnya Botnet |
Kill Switch Mozi
Namun penurunan tajam dalam aktivitas Mozi dari sekitar 13.300 host pada tanggal 7 Agustus menjadi 3.500 pada tanggal 10 Agustus.
Dikatakan sebagai akibat dari aktor tak dikenal yang mengirimkan perintah yang memerintahkan bot untuk mengunduh dan menginstal pembaruan yang dirancang untuk menetralisir malware tersebut.
Secara khusus, tombol pemutus memiliki kemampuan untu:
- Menghentikan proses malware.
- Menonaktifkan layanan sistem seperti SSHD dan Dropbear.
- Pada akhirnya menggantikan Mozi dengan dirinya sendiri.
Meskipun terjadi penurunan fungsionalitas secara drastis, bot Mozi tetap bertahan, menunjukkan penghapusan yang disengaja dan diperhitungkan.
|
Baca juga: Menangkal Botnet |
Varian Kedua
Varian kedua dari payload kontrol hadir dengan sedikit perubahan, termasuk fitur untuk melakukan ping ke server jarak jauh, kemungkinan besar untuk tujuan statistik.
Terlebih lagi, tombol pemutus menunjukkan tumpang tindih yang kuat dengan kode sumber asli botnet dan ditandatangani dengan kunci pribadi yang benar.
Ada dua pemicu potensial untuk penghapusan ini: pembuat botnet asli Mozi atau penegak hukum Tiongkok, mungkin meminta atau memaksa kerja sama dari aktor atau aktor asli.
Penargetan berurutan terhadap India dan kemudian Tiongkok menunjukkan bahwa penghapusan tersebut dilakukan dengan sengaja, dengan satu negara menjadi sasaran pertama dan negara lainnya menjadi sasaran seminggu kemudian.
Sumber berita:
