Pesquisadores de segurança relatam ter observado o que acreditam ser o fim do notório botnet Mozi, que se infiltrou em mais de um milhão de dispositivos da Internet das Coisas em todo o mundo.
De acordo com uma pesquisa compartilhada com o TechCrunch antes de sua publicação, a equipe de pesquisadores da empresa de segurança cibernética ESET alega ter testemunhado a “morte súbita” do Mozi durante uma investigação sobre o botnet.
O Mozi é um botnet ponto a ponto voltado para a Internet das Coisas, que explorava senhas fracas de telnet e vulnerabilidades conhecidas para assumir o controle de roteadores domésticos e gravadores de vídeo digital. Desde sua descoberta em 2019 pela 360 Netlab, o Mozi infectou mais de 1,5 milhão de dispositivos, com a maioria deles – pelo menos 830.000 – originando-se na China.
A ESET observou uma queda acentuada na atividade do Mozi em agosto deste ano. Ivan Bešina, pesquisador sênior de malware da ESET, explicou que a empresa monitorava cerca de 1.200 dispositivos exclusivos diariamente em todo o mundo, mas após a queda, a capacidade de monitoramento foi reduzida para cerca de 100 dispositivos exclusivos por dia.
Essa diminuição na atividade foi inicialmente observada na Índia e depois na China, que representam juntas 90% de todos os dispositivos infectados em todo o mundo, de acordo com Bešina. Ele também acrescentou que a Rússia é o terceiro país mais afetado, seguido pela Tailândia e pela Coreia do Sul.
A ESET acredita que a queda na atividade do Mozi foi causada por uma atualização dos bots Mozi, que desativou sua funcionalidade e foi identificada como um “kill switch” que desencadeou o desligamento do botnet. A análise da ESET do kill switch sugere que sua remoção foi um ato deliberado e calculado, possivelmente realizado pelo criador original do Mozi ou pelas autoridades chinesas.
Bešina explicou que a atualização do kill switch foi assinada com a chave privada correta, algo que apenas os operadores originais do Mozi teriam acesso, ou possivelmente as autoridades chinesas que prenderam os operadores do Mozi em julho de 2021.
Em resumo, a queda aparente do Mozi ocorre após a recente derrubada do botnet Qakbot pelo FBI, marcando um avanço na luta contra ameaças cibernéticas em todo o mundo.