En la era de la conectividad, la seguridad en Internet se ha convertido en un tema crucial. Con el auge del Internet de las Cosas (IoT), la aparición de botnets como Mozi plantea una amenaza significativa. En este artículo ofrece una mirada en profundidad a la botnet Mozi, su impacto en el IoT y cómo podemos protegernos contra estas amenazas cibernéticas.
¿Qué es Mozi y Cómo Funciona?
Mozi es una botnet que se aprovecha de dispositivos IoT inseguros. Es un software malicioso que infecta dispositivos conectados a Internet, como cámaras de seguridad, enrutadores y más, convirtiéndolos en parte de una red de máquinas 'zombis'. Estos dispositivos son controlados por atacantes cibernéticos sin el conocimiento de sus propietarios.
La botnet Mozi utiliza una técnica conocida como secuestro de sesión DHT (Distributed Hash Table) para propagarse. Esto le permite interrumpir el tráfico en redes P2P y distribuir malware. Una vez que un dispositivo está infectado, puede ser utilizado para lanzar ataques de denegación de servicio distribuido (DDoS), robo de datos, o para propagar el malware a otros dispositivos vulnerables.
Te podría interesar leer: Entendiendo la Red Zombie: Su Impacto en la Ciberseguridad
Impacto de Mozi en el IoT
El Internet de las Cosas se refiere a la creciente red de dispositivos conectados a Internet. Estos dispositivos van desde electrodomésticos hasta sistemas de seguridad y vehículos. La seguridad de estos dispositivos es fundamental, ya que una vulnerabilidad puede comprometer toda una red.
Mozi aprovecha las debilidades de seguridad en dispositivos IoT, muchos de los cuales tienen configuraciones predeterminadas débiles o no se actualizan regularmente. Esto crea un terreno fértil para que Mozi se propague rápidamente y cause daños.
Podría interesarte leer: Detección de Amenazas en IoT con Wazuh
El Fin de Mozi: ¿Quién Derrotó a la Botnet IoT?
Investigadores en ciberseguridad identificaron el "kill switch" responsable del colapso de Mozi, una de las botnets IoT más prolíficas. Este hallazgo es clave en el estudio de cómo se crean, operan y desmantelan estas amenazas.
En agosto de 2023, la actividad de la botnet Mozi, conocida por explotar vulnerabilidades en cientos de miles de dispositivos IoT cada año, disminuyó drásticamente. Comenzó en India el 8 de agosto de 2023, y una semana después en China, el 16 de agosto. Esta abrupta desaparición afectó significativamente la funcionalidad de los bots Mozi.
La investigación los llevó al descubrimiento del "kill switch" el 27 de septiembre. Encontraron el payload de control (archivo de configuración) en un mensaje del User Datagram Protocol (UDP) que carecía de la encapsulación típica del protocolo de tablas distribuidas de hash (BT-DHT) de BitTorrent. El desmantelador envió el payload de control ocho veces, instruyendo al bot para que descargara e instalara una actualización a través de HTTP.
El "kill switch" tenía varias funcionalidades, incluyendo:
- Eliminar el proceso padre, es decir, el malware Mozi original.
- Desactivar servicios del sistema como sshd y dropbear.
- Reemplazar el archivo Mozi original por sí mismo.
- Ejecutar comandos de configuración en routers/dispositivos.
- Bloquear el acceso a varios puertos (iptables -j DROP).
- Establecer el mismo punto de apoyo que el archivo Mozi original.
Identificaron dos versiones del payload de control, siendo la última una versión modificada que incluía una función ping a un servidor remoto, probablemente para estadísticas.
A pesar de la reducción drástica en funcionalidad, los bots Mozi siguieron persistentes, indicando un derribo deliberado y calculado. El análisis del "kill switch" revela una fuerte conexión entre el código fuente original de la botnet y los binarios recientemente utilizados, y el uso de las claves privadas correctas para firmar el payload de control.
Esto sugiere dos posibles autores del desmantelamiento: los creadores de la botnet Mozi o las fuerzas de seguridad chinas, posiblemente forzando la cooperación de los creadores. La secuencia de ataques a bots en India y China indica un desmantelamiento deliberado. La caída de una de las botnets IoT más prolíficas representa un caso fascinante de investigación ciberforense, ofreciendo valiosa información técnica sobre la creación, operación y desmantelamiento de estas redes.
Te podría interesar leer: ¿Estás Listo para Asegurar tu Empresa en el Mundo IoT?
La botnet Mozi es un recordatorio claro de los riesgos de seguridad en el creciente mundo del IoT. Tomando medidas proactivas y manteniéndonos informados, podemos proteger nuestros dispositivos y nuestra información personal. La lucha contra las botnets como Mozi es un esfuerzo conjunto que requiere la colaboración de fabricantes, usuarios y profesionales de la seguridad cibernética.
