Весь DDoS-ботнет перешел в неактивный режим после рассылки по нему «аварийного выключателя» - UDP-сообщения, отключающего основные процессы. Но многое указывает на то, что ботнет еще вернется

Одним махом

Кто-то разом «убил» широко известный DDoS-ботнет Mozi: кто-то активировал «аварийный выключатель», который дал команду на самоуничтожение всем агентам («ботам») сети.

Mozi образовался в 2019 г. Разработчики запрограммировали его атаковать устройства интернета вещей - роутеры, цифровые видеорекордеры и другие гаджеты, т.е. одну из самых уязвимых категорий IoT-устройств (Internet of Things).

Основная вредоносная программа эксплуатировала уже известные уязвимости и использовала слабые пароли для компрометации устройств. Сам по себе ботнет был сугубо горизонтальным, выстроенным по принципу пиринговой сети, где отдельные звенья общались между собой с помощью протокола BitTorrent DHT (distributed hash table или распределенная таблица хэшей).

Как указывают эксперты разработчика антивируса ESET со ссылкой на собственные данные телеметрии, 8 августа произошло резкое падение активности Mozi. Первым делом «погасли» все его узлы в Индии. Спустя еще неделю, 16 августа, отключились сегменты в Китае (где этот ботнет, собственно, и возник).

И, наконец, 27 сентября всем ботам Mozi восемь раз к ряду было разослано UDP-сообщение (User Datagram Protocol – протокол для передачи сообщений другим хостам без проверки ошибок и их исправления), после которого звенья сети скачали некое обновление и выполнили сразу несколько «суицидальных» операций: основной процесс вредоноса Mozi был остановлен; основной файл Mozi перезаписан. Кроме того, были деактивированы определенные системные службы (sshd и dropbear), перекрыт доступ к различным портам, выполнены ряд команд по настройке зараженного устройства. Важнее всего, впрочем, это то, что сохранен и подготовлен модуль сохранения присутствия.

Иными словами, ботнет был намеренно отключен, но с возможностью реактивации в любой момент и с новым вредоносным компонентом.

Нейтрализация или демонстрация?

Эксперты ESET провели его анализ и убедились в более чем значительном сходстве кода с оригинальным Mozi и наличии корректных приватных ключей подписания.

По мнению представителей ESET, это может означать, что ботнет отключили либо его владельцы, либо это произошло при непосредственном участии полицейских сил КНР. Точно, правда, ничего утверждать нельзя.

Эксперт по информационной безопасности компании SEQ Михаил Зайцев допускает, что существует и третий вариант: ботнет могли подготовить к продаже и продемонстрировали потенциальным покупателям степень его управляемости в целом и по отдельным регионам. «Можно сказать, что это довольно скверный вариант, потому что он означает скорое возвращение ботнета в активное состояние», - подытожил Михаил Зайцев.

Защититься от ботнета, по крайней мере, оригинальной его версии, сравнительно легко: достаточно установить надежные пароли на IoT-устройствах в ваших сетях и регулярно обновлять прошивки тем из них, которые в принципе поддерживают установку обновлений.