Cyberthreat.id - Penurunan tak terduga dalam aktivitas jahat yang terkait dengan botnet Mozi pada Agustus 2023 disebabkan oleh tombol pemutus (kill switch) yang didistribusikan ke bot. Demikian laporan The Hacker News.

“Pertama, penurunan terjadi di India pada 8 Agustus,” kata ESET dalam analisis yang diterbitkan minggu ini sebagaimana dikutip The Hacker News.

"Seminggu kemudian, pada 16 Agustus, hal yang sama terjadi di Tiongkok. Meskipun muatan kontrol misterius – alias tombol pemutus (kill switch) – menghilangkan sebagian besar fungsi bot Mozi, mereka tetap bertahan."

Mozi adalah botnet Internet of Things (IoT) yang muncul dari kode sumber beberapa keluarga malware yang dikenal, seperti Gafgyt, Mirai, dan IoT Reaper.

Pertama kali ditemukan pada 2019, ia diketahui mengeksploitasi kata sandi akses jarak jauh yang lemah dan default serta kerentanan keamanan yang belum ditambal untuk akses awal.

Pada September 2021, peneliti dari perusahaan keamanan siber Netlab mengungkapkan penangkapan operator botnet oleh otoritas Tiongkok.

Namun penurunan tajam dalam aktivitas Mozi – dari sekitar 13.300 host pada tanggal 7 Agustus menjadi 3.500 pada tanggal 10 Agustus – dikatakan sebagai akibat dari aktor tak dikenal yang mengirimkan perintah yang memerintahkan bot untuk mengunduh dan menginstal pembaruan yang dirancang untuk menetralisir malware tersebut.

Secara khusus, tombol pemutus menunjukkan kemampuan untuk menghentikan proses malware, menonaktifkan layanan sistem seperti SSHD dan Dropbear, dan pada akhirnya menggantikan Mozi dengan dirinya sendiri.

“Meskipun terjadi penurunan fungsionalitas secara drastis, bot Mozi tetap bertahan, menunjukkan penghapusan yang disengaja dan diperhitungkan,” kata peneliti keamanan Ivan Bešina, Michal Škuta, dan Miloš Čermák.

Varian kedua dari payload kontrol hadir dengan sedikit perubahan, termasuk fitur untuk melakukan ping ke server jarak jauh, kemungkinan besar untuk tujuan statistik.

Terlebih lagi, tombol pemutus menunjukkan tumpang tindih yang kuat dengan kode sumber asli botnet dan ditandatangani dengan kunci pribadi yang benar yang sebelumnya digunakan oleh operator Mozi asli.

“Ada dua pemicu potensial untuk penghapusan ini: pembuat botnet asli Mozi atau penegak hukum China, mungkin meminta atau memaksa kerja sama dari aktor asli,” kata Bešina.

“Penargetan berurutan terhadap India dan kemudian China menunjukkan bahwa penghapusan tersebut dilakukan dengan sengaja, dengan satu negara menjadi sasaran pertama dan negara lainnya menjadi sasaran seminggu kemudian.”[]