Un botnet IoT particulièrement prolifique a pratiquement disparu en Inde et en Chine ces derniers mois. Des chercheurs d’ESET soupçonnent la présence d’un soi-disant ‘kill switch’ (bouton d’arrêt d’urgence), mais qui l’aurait donc activé?

Le botnet Mozi existe depuis 2019 et contiendrait des centaines de milliers d’appareils IoT. Il est rapidement devenu responsable d’environ 90 pour cent du trafic IoT mondial, selon des chercheurs de SecurityIntelligence. Au niveau du code, le botnet présente des similitudes avec, par exemple, le tristement célèbre Mirai, qui avait réussi à paralyser une grande partie d’internet en 2016.

Mais avec Mozi, il semble qu’on n’en arrivera pas là, puisque ce botnet a soudainement disparu. En août de cette année, ESET notamment a observé une baisse de l’activité de Mozi, d’abord en Inde, puis en Chine. Un soi-disant ‘kill switch’ aurait désactivé le malware.

‘Kill Switch’

Cette baisse brutale est attribuée à une mise à jour des robots Mozi, qui les prive de leurs fonctionnalités. Ce ‘kill switch’ a stoppé le malware et remplacé le fichier Mozi d’origine par lui-même. En outre, il a également exécuté quelques commandes de configuration pour routeurs et appareils, et a fermé les ports réseau.

On ne sait cependant pas clairement qui a activé le ‘kill switch’. L’analyse de ce dernier par ESET a montré un lien étroit entre le code source original du botnet et la mise à jour, qui a également été signée avec les clés privées des charges utiles d’origine.

La Chine ou quelqu’un d’autre

ESET envisage la possibilité que le créateur du botnet Mozi original l’ait retiré, peut-être pour échapper aux autorités. Mais la manière dont le botnet a été désactivé d’abord dans toute l’Inde, puis une semaine plus tard dans toute la Chine, suggère également une ingérence gouvernementale. ESET s’intéresse principalement au gouvernement chinois, éventuellement avec la collaboration de l’administrateur d’origine.

Bien que le botnet ne soit donc plus actif, ESET prévient que les bots restent persistants. Il s’agit donc actuellement d’un botnet zombie. Et si l’on regarde ses prédécesseurs comme Emotet, il pourrait bien ressusciter.