安全研究人员观察到臭名昭著的Mozi物联网僵尸网络被“有意摧毁”

Mozi 是一个点对点物联网僵尸网络，利用弱 telnet 密码和已知漏洞劫持家用路由器和数字视频录像机。该僵尸网络由 360 Netlab 于 2019 年首次发现，它利用大量这些被劫持的设备发起 DDoS 攻击、执行有效载荷和数据外渗。自 2019 年以来，Mozi 已感染了 150 多万台设备，其中大部分--至少 83 万台设备来自中国。

微软在 2021 年 8 月警告说，Mozi 通过调整其持久性机制，已经发展到可以在 Netgear、华为和中兴生产的网络网关上实现持久性存在，同月，360 Netlab 宣布已协助中国执法部门逮捕 Mozi 的作者。

ESET 在这些逮捕行动前一个月启动了对 Mozi 的调查，并表示今年 8 月发现 Mozi 的活动急剧下降。

ESET高级恶意软件研究员伊万-贝希纳（Ivan Bešina）表示，在此之前，该公司每天在全球范围内监测大约1200台独立设备。Bešina 说："我们在今年上半年看到了 20 万台独立设备，在 2023 年 7 月看到了 4 万台独立设备。"下降之后，我们的监测工具每天只能探测到约 100 台独立设备。"

这种下降首先出现在印度，其次是中国--这两个国家的受感染设备加起来占全球受感染设备总数的90%，她还补充说，俄罗斯是受感染第三多的国家，其次是泰国和韩国。

据ESET称，活动下滑的原因是Mozi Bots（受Mozi恶意软件感染的设备）的一次更新剥夺了它们的功能，ESET说它能够识别和分析导致Mozi消亡的开关。这个开关停止并替换了Mozi恶意软件，禁用了一些系统服务，执行了某些路由器和设备配置命令，并禁止了对各种端口的访问。

ESET 称，其对杀毒开关的分析表明，僵尸网络的原始源代码与最近使用的二进制文件之间存在很强的联系，这表明这是一次"经过深思熟虑的清除行动"。研究人员说，这表明这次清除行动很可能是由最初的"Mozi"僵尸网络创建者或中国执法部门实施的，他们可能争取或迫使僵尸网络运营商合作。

"最大的证据是，这个致命开关更新是用正确的私钥签署的。没有这个，受感染的设备就不会接受和应用这个更新，"Bešina表示。"据我们所知，只有最初的 Mozi 操作员才能获得这个私人签名密钥。唯一可以合理获取这个私人签名密钥的其他方是在 2021 年 7 月抓获 Mozi 操作员的中国执法机构。"

Bešina补充说，ESET对恶意软件更新的代码分析表明，它一定是由相同的基础源代码编译而成的，只是原始Mozi的'精简版'。

Mozi是在联邦调查局攻陷并摧毁臭名昭著的Qakbot僵尸网络数周后被攻陷的，Qakbot僵尸网络是一个银行木马，因其在受害者的网络上为其他黑客提供初始立足点以购买访问权并发布自己的恶意软件而臭名昭著。