Penurunan yang tak terduga dalam aktivitas jahat yang terkait dengan botnet Mozi pada Agustus 2023 telah menciptakan kehebohan di dunia keamanan siber. Laporan yang diterbitkan oleh The Hacker News mengungkapkan bahwa penurunan ini disebabkan oleh penggunaan tombol pemutus atau “kill switch” yang didistribusikan ke dalam bot Mozi.
Baca Juga : Indonesia Rentan Terhadap Serangan Siber: Masyarakat dan Perbankan Waspadai Ancaman
Pertama kali terlihat di India pada 8 Agustus, aktivitas jahat yang terkait dengan botnet Mozi mulai mengalami penurunan. ESET, perusahaan keamanan siber yang melakukan analisis mendalam tentang peristiwa ini, menyatakan bahwa seminggu kemudian, pada 16 Agustus, situasi yang sama terulang di Tiongkok. Meskipun tombol pemutus misterius ini menghilangkan sebagian besar fungsi bot Mozi, bot tersebut tetap bertahan.
Dilansir dari Cyberthreat ID, Bot Mozi sendiri adalah botnet Internet of Things (IoT) yang muncul dari kode sumber beberapa keluarga malware yang dikenal, termasuk Gafgyt, Mirai, dan IoT Reaper. Bot ini pertama kali muncul pada tahun 2019 dan telah dikenal mengeksploitasi kata sandi akses jarak jauh yang lemah dan bawaan, serta memanfaatkan kerentanan keamanan yang belum diperbarui.
Pada September 2021, otoritas Tiongkok berhasil menangkap operator botnet Mozi, namun penurunan tajam dalam aktivitas Mozi pada bulan Agustus 2023 bukanlah hasil dari tindakan tersebut. Aktivitas Mozi merosot drastis dari sekitar 13.300 host pada tanggal 7 Agustus menjadi hanya 3.500 pada tanggal 10 Agustus, dan ini disebabkan oleh perintah yang diberikan oleh aktor tak dikenal.
Tombol pemutus ini mampu menghentikan proses malware, menonaktifkan layanan sistem seperti SSHD dan Dropbear, dan pada akhirnya menggantikan Mozi dengan dirinya sendiri. Meskipun fungsionalitas Mozi menurun secara drastis, bot tersebut tetap bertahan.
Baca Juga : Pakar Keamanan Siber Ungkap Dugaan Peretasan Situs Kemhan Pakai Malware Stealer
Payload kontrol Mozi yang kedua memiliki beberapa perubahan, termasuk kemampuan untuk melakukan ping ke server jarak jauh, yang mungkin digunakan untuk tujuan statistik. Selain itu, tombol pemutus menunjukkan tumpang tindih yang kuat dengan kode sumber asli botnet dan menggunakan tanda tangan digital yang sama dengan yang digunakan oleh operator Mozi asli.
Peneliti keamanan menduga bahwa ada dua pemicu potensial untuk penghapusan ini: pembuat asli botnet Mozi atau penegak hukum Tiongkok yang mungkin meminta atau memaksa kerja sama dari aktor asli. Penargetan yang berurutan terhadap India dan Tiongkok menunjukkan bahwa penghapusan ini dilakukan secara sengaja, dengan satu negara menjadi sasaran pertama dan negara lainnya menjadi sasaran seminggu kemudian.
Situasi ini menyoroti kompleksitas keamanan siber di era saat ini, di mana serangan dan respons terhadap serangan terus berlangsung, dan peran aktor yang tidak dikenal dapat mengubah lanskap keamanan dalam waktu singkat. Para peneliti dan pakar keamanan siber akan terus memantau perkembangan situasi ini untuk melindungi infrastruktur dan data sensitif dari ancaman yang mungkin muncul di masa depan.
