Botnet Mozi Digebuk Kill Switch

Botnet Mozi Digebuk Kill Switch

Penurunan tak terduga dalam aktivitas jahat yang terkait dengan botnet Mozi pada Agustus 2023 disebabkan oleh tombol pemutus (kill switch) yang didistribusikan ke bot.

Pertama, penurunan terjadi di India pada 8 Agustus, menurut ESET dalam analisis yang diterbitkan belum lama ini. Seminggu kemudian, pada tanggal 16 Agustus, hal yang sama terjadi di Tiongkok.

Baca juga: Mengenali Phising Secara Cepat

Persistensi Mozi

Meskipun muatan kontrol misterius alias tombol pemutus (kill switch) menghilangkan sebagian besar fungsi bot Mozi, mereka tetap bertahan.

Mozi adalah botnet Internet of Things (IoT) yang muncul dari kode sumber beberapa keluarga malware yang dikenal, seperti Gafgyt, Mirai, dan IoT Reaper.

Pertama kali ditemukan pada tahun 2019, ia diketahui mengeksploitasi kata sandi akses jarak jauh yang lemah dan default serta kerentanan keamanan yang belum ditambal untuk akses awal.

Pada bulan September 2021, peneliti perusahaan keamanan siber mengungkapkan penangkapan operator botnet oleh otoritas Tiongkok.

Baca juga: Menghapus File APK Berbahaya

Kill Switch Mozi

Namun penurunan tajam dalam aktivitas Mozi dari sekitar 13.300 host pada tanggal 7 Agustus menjadi 3.500 pada tanggal 10 Agustus.

Dikatakan sebagai akibat dari aktor tak dikenal yang mengirimkan perintah yang memerintahkan bot untuk mengunduh dan menginstal pembaruan yang dirancang untuk menetralisir malware tersebut.

Secara khusus, tombol pemutus menunjukkan kemampuan untuk menghentikan proses malware, menonaktifkan layanan sistem seperti SSHD dan Dropbear, dan pada akhirnya menggantikan Mozi dengan dirinya sendiri.

Meskipun terjadi penurunan fungsionalitas secara drastis, bot Mozi tetap bertahan, menunjukkan penghapusan yang disengaja dan diperhitungkan.

Baca juga: Solusi Aplikasi Tidak Bisa Terinstall

Varian Kedua

Varian kedua dari payload kontrol hadir dengan sedikit perubahan, termasuk fitur untuk melakukan ping ke server jarak jauh, kemungkinan besar untuk tujuan statistik.

Terlebih lagi, tombol pemutus menunjukkan tumpang tindih yang kuat dengan kode sumber asli botnet dan ditandatangani dengan kunci pribadi yang benar.

Ada dua pemicu potensial untuk penghapusan ini: pembuat botnet asli Mozi atau penegak hukum Tiongkok, mungkin meminta atau memaksa kerja sama dari aktor atau aktor asli.

Penargetan berurutan terhadap India dan kemudian Tiongkok menunjukkan bahwa penghapusan tersebut dilakukan dengan sengaja, dengan satu negara menjadi sasaran pertama dan negara lainnya menjadi sasaran seminggu kemudian.

 

 

Baca artikel lainnya:

 

 

Sumber berita:

 

Kill Switch Botnet Mozi