多数のモノのインターネット(IoT)デバイスの脆弱性を悪用することで知られるMoziボットネットは、2023年8月に活動が突如として低下しました。
本日ESETのセキュリティ研究者が公開したアドバイザリによると、ボットネット活動の急減は8月8日にインドで最初に検知され、その後8月16日に中国でも確認され、運用に大きな支障が生じたことを示しています。
同社の調査により、2023年9月27日に隠されたキルスイッチが明らかになり、これがボットネットの機能低下の原因でした。制御ペイロードはユーザーデータグラムプロトコル(UDP)メッセージ内で特定されましたが、そこにはBitTorrentの分散スロッピーハッシュテーブル(BT-DHT)プロトコルに見られる従来のカプセル化が欠けていました。
このキルスイッチは、親プロセスの無効化、システムサービスの無効化、元のMoziマルウェアの置き換え、設定コマンドの実行、各種ポートへのアクセスの無効化、そして置き換えられた元のMoziファイルと同等の足場(侵入基盤)の確立など、複数の機能を示しました。
Moziについて詳しく読む:消費者はIoTデバイスのセキュリティをどう高められるのか?
ESETは制御ペイロードに2つのバージョンがあることを特定しており、最新バージョンは軽微な変更を加えたうえで、最初のバージョンを格納するコンテナとして機能していました。Moziボットの能力は大幅に低下したものの、依然として永続性を示しており、意図的かつ慎重に実行されたテイクダウンであることを示唆しています。分析では、ボットネットのソースコードと最近使用されたバイナリの間に大きな重複があることが明らかになり、制御ペイロードの署名に正しい秘密鍵が用いられていたことも含まれていました。
この発見により、テイクダウンの起源について2つの可能性のある仮説が浮上しました。Moziボットネットの作成者によって実行された可能性、あるいは中国の法執行機関が作成者の協力を強制して実行した可能性です。インドと中国のボットが順に標的となったことは、戦略的で協調的な取り組みを示唆しています。
「最も蔓延していたIoTボットネットの一つの終焉は、サイバーフォレンジックの観点から非常に興味深い事例であり、野外でこうしたボットネットがどのように作られ、運用され、解体されるのかについて、興味深い技術情報を私たちに提供してくれます」とESETは同社のアドバイザリに記しました。「私たちはこの事例の調査を継続しており、今後数か月のうちに詳細な分析を公開する予定です。しかし現時点では、疑問は残ります――Moziを殺したのは誰なのか?」
翻訳元: https://www.infosecurity-magazine.com/news/kill-switch-shuts-down-mozi-iot/
