Mozi 劫持恶意程序关闭，热点议论引发众多猜测

重点总结

Mozi 网络攻击工具：建于2019年，广泛攻击物联网设备，曾占全球90的 IoT 网络流量。 关闭原因：ESET 研究人员发现 Mozi 在8月发生了活动骤减，并确认有一个“关闭开关”被触发。 潜在幕后黑手：可能是 Mozi 的创作者或中国执法机关主导了此次关闭。 未来可能性：尽管现在 Mozi 隐匿，但恶意软件的新版本可能使其有再次活跃的可能性。

Mozi 这个广为人知的恶意程序，专注于物联网 (IoT) 设备攻击，近期突然关闭，引发了众多猜测，认为可能是应中国当局的要求，程序的创作者决定停止其运行。

Mozi 的历史与影响

Mozi 于2019年首次被观察到，并因代码重叠与 Mirai 恶意程序相联。根据 IBM XForce 研究人员在2020年的发现，恶意的 Mozi 活动几乎占据了 观测到的90 IoT 网络流量。此后，Mozi 每天在全球范围内继续实施成千上万次感染。 然而，根据 ESET 研究，在8月时，Mozi 的活动突然减少。

“这种变化源于 Mozi 机器人更新后功能的剥离，” ESET 研究人员在 11月1日的帖子中表示。

该公司最早的数据监测显示，自8月8日起，Mozi 的活动急剧下降，其中包括在印度的操作完全停止。八天后，Mozi 在其起源地中国的类似关闭也发生了。

谁在切断开关？

经过进一步的调查，研究人员发现，9月27日触发的“关闭开关”可以进行分析，确定了导致恶意程序停用的原因。

clash电脑版

“我们在一个用户数据报协议 (UDP) 消息中发现了控制负载配置文件，该消息缺少 BitTorrent 分布式散列表 (BTDHT) 协议的典型封装，”他们在帖子中提到。

“负责此项打击的人通过 HTTP 发送控制负载八次，每次都指示机器人下载并安装自身的更新。”

该“关闭开关”关闭了原始的 Mozi 恶意软件，禁用了一些系统服务，用自身替换了原始的 Mozi 文件，执行了路由器/设备配置命令，并禁用对多个端口的访问，从而建立与原始文件相同的基地。

“尽管功能大幅降低，Mozi 机器人仍然保持了持续性，这表明这是一次经过深思熟虑的打击，”研究人员表示。

他们对“关闭开关”的分析表明，恶意程序的原始源代码与最近使用的二进制文件之间存在强关联，并且使用了正确的私钥来对控制负载进行签名。

ESET 其中一位研究人员 Ivan Beina 表示，首先在印度网络关闭，然后在一周后在中国关闭，进一步表明这似乎是一次故意操纵的项目。

“两种潜在的发起者可能是在这一案中：原始的 Mozi 恶意程序创建者或者中国执法机关，或许是通过招募或强迫的方式获得了原始行为者的配合，”他说。

Mozi 是否有可能重现？

虽然尚不清楚中国当局在这一关闭中是否有参与，但这并不是国家行为者首次巻入关闭恶意程序。

在八月，FBI 领导了全球行动，关闭了 Qakbot 恶意程序并 释放了700000台电脑。此次行动涉及将 Qakbot 流量重新引导至 FBI 控制的服务器，并启动了下载代码到被感染机器上以卸载恶意软件。

然而，Mozi 的情况则截然不同，一个新的恶意软件版本仍旧在被感染