لاحظ باحثو الأمن إزالة “متعمدة” لشبكة Mozi الروبوتية سيئة السمعة

يقول باحثون أمنيون إنهم لاحظوا ما يعتقدون أنه عملية إزالة لشبكة الروبوتات Mozi سيئة السمعة التي تسللت إلى أكثر من مليون جهاز إنترنت الأشياء في جميع أنحاء العالم.

في بحث تمت مشاركته مع TechCrunch قبل نشره يوم الثلاثاء، يقول الباحثون في شركة الأمن السيبراني ESET إنهم شهدوا “الزوال المفاجئ” لـ Mozi أثناء التحقيق في شبكة الروبوتات.

Mozi عبارة عن شبكة روبوتية تعمل بنظام إنترنت الأشياء من نظير إلى نظير تستغل كلمات مرور telnet الضعيفة والمآثر المعروفة لاختراق أجهزة التوجيه المنزلية ومسجلات الفيديو الرقمية. تستخدم شبكة الروبوتات، التي تم اكتشافها لأول مرة في عام 2019 بواسطة 360 Netlab، كميات كبيرة من هذه الأجهزة المختطفة لشن هجمات DDoS وتنفيذ الحمولة واستخلاص البيانات. أصاب Mozi أكثر من 1.5 مليون جهاز منذ عام 2019، معظمها – ما لا يقل عن 830 ألف جهاز – مصدرها الصين.

حذرت Microsoft في أغسطس 2021 من أن Mozi قد تطور لتحقيق الثبات على بوابات الشبكة المصنعة بواسطة Netgear وHuawei وZTE من خلال تكييف آليات الثبات الخاصة به. وفي الشهر نفسه، أعلنت شركة 360 Netlab أنها ساعدت في عملية إنفاذ القانون الصينية للقبض على مؤلفي Mozi.

وقالت شركة ESET، التي بدأت تحقيقًا مع موزي قبل شهر من هذه الاعتقالات، إنها لاحظت انخفاضًا كبيرًا في نشاط موزي في أغسطس من هذا العام.

يقول إيفان بيسينا، أحد كبار الباحثين في البرامج الضارة في شركة ESET، لـ TechCrunch أن الشركة كانت تراقب ما يقرب من 1200 جهاز فريد يوميًا في جميع أنحاء العالم قبل ذلك. وقال بيسينا: “لقد رأينا 200 ألف جهاز فريد في النصف الأول من هذا العام و40 ألف جهاز فريد في يوليو 2023”. “بعد هذا الانخفاض، لم تتمكن أداة المراقبة الخاصة بنا من فحص سوى حوالي 100 جهاز فريد يوميًا.”

وقد لوحظ هذا الانخفاض أولاً في الهند، تليها الصين – التي تمثل مجتمعة 90٪ من جميع الأجهزة المصابة في جميع أنحاء العالم – يقول بيسينا لـ TechCrunch، مضيفًا أن روسيا هي ثالث أكثر الدول إصابة، تليها تايلاند وكوريا الجنوبية.

كان سبب التراجع في النشاط هو تحديث لروبوتات Mozi – الأجهزة المصابة ببرامج Mozi الضارة – مما جردها من وظائفها، وفقًا لشركة ESET، التي قالت إنها كانت قادرة على تحديد وتحليل مفتاح الإيقاف الذي تسبب في زوال Mozi. قام مفتاح الإيقاف هذا بإيقاف برنامج Mozi الضار واستبداله، وتعطيل بعض خدمات النظام، وتنفيذ بعض أوامر تكوين جهاز التوجيه والجهاز، وتعطيل الوصول إلى المنافذ المختلفة.

تقول شركة ESET إن تحليلها لمفتاح الإيقاف، والذي أظهر وجود علاقة قوية بين كود المصدر الأصلي لشبكة الروبوتات والثنائيات المستخدمة مؤخرًا، يشير إلى “إزالة متعمدة ومحسوبة”. ويقول الباحثون إن هذا يشير إلى أن عملية الإزالة قد تم تنفيذها على الأرجح من قبل منشئ شبكة الروبوتات Mozi الأصلية أو سلطات إنفاذ القانون الصينية، وربما تجنيد مشغلي الروبوتات أو إجبارهم على التعاون.

“أكبر دليل هو أن تحديث مفتاح الإيقاف هذا تم توقيعه بالمفتاح الخاص الصحيح. وبدون ذلك، لن تقبل الأجهزة المصابة هذا التحديث وتطبقه. “على حد علمنا، لم يتمكن سوى مشغلي Mozi الأصليين من الوصول إلى مفتاح التوقيع الخاص هذا. الطرف الآخر الوحيد الذي يمكنه الحصول بشكل معقول على مفتاح التوقيع الخاص هذا هو وكالة إنفاذ القانون الصينية التي ألقت القبض على مشغلي Mozi في يوليو 2021.

وأضاف Bešina أن تحليل ESET لتحديثات مفتاح الإيقاف أظهر أنه لا بد أنه تم تجميعها من نفس كود المصدر الأساسي. قال Bešina: “إن تحديث مفتاح القتل الجديد هو مجرد نسخة مجردة من Mozi الأصلي”.

تأتي الإزالة الواضحة لـ Mozi بعد أسابيع من قيام مكتب التحقيقات الفيدرالي بإسقاط وتفكيك شبكة الروبوتات Qakbot سيئة السمعة، وهي عبارة عن حصان طروادة مصرفي اشتهر بتوفير موطئ قدم أولي على شبكة الضحية للمتسللين الآخرين لشراء الوصول وتسليم البرامج الضارة الخاصة بهم.