Per Kill Switch: Großes IoT-Botnetz verstummt plötzlich und unerwartet
Sicherheitsforscher von Eset haben kürzlich festgestellt, dass die Aktivität eines der bekanntesten IoT-Botnetze mit dem Namen Mozi im August 2023 plötzlich und unerwartet eingebrochen ist. Am 8. August hätten die Mozi-Bots ihre Aktivität zunächst in Indien eingestellt, am 16. August sei der plötzliche Einbruch des Botnetzes in China erfolgt, heißt es im Bericht der Eset-Forscher(öffnet im neuen Fenster) .
Laut Bleeping Computer(öffnet im neuen Fenster) handelt es sich bei Mozi um ein bekanntes Botnetz, das erstmals im Jahr 2019 auftauchte und vornehmlich IoT-Geräte wie Router, digitale Videorekorder und andere mit dem Internet verbundene Geräte für die Ausführung von DDoS-Angriffen missbraucht. Die Kommunikation der in ein P2P-Netzwerk eingegliederten Teilnehmer erfolgt dabei über das DHT-Protokoll (Distributed Hash Table) von Bittorrent.
Per Kill Switch deaktiviert
Auslöser des unerwarteten Rückgangs der Aktivitäten sei eine Art Kill Switch gewesen, den die Forscher nach eigenen Angaben am 27. September entdeckten. Der Akteur, der das Botnetz abgeschaltet habe, habe die auf den Bot-Systemen installierte Mozi-Malware durch ein spezielles Datenpaket insgesamt achtmal angewiesen, sich selbst über eine HTTP-Verbindung zu aktualisieren.
Durch dieses Update sei das Botnetz schließlich zum Erliegen gekommen. Nicht nur habe die Aktualisierung die lokale Ausführung der Mozi-Malware beendet. Das Update habe auf infizierten IoT-Geräten ebenso einige Systemdienste sowie den Zugriff über verschiedene Ports deaktiviert, die ursprüngliche Mozi-Datei überschrieben und einige Konfigurationsänderungen auf den jeweiligen Zielgeräten ausgeführt.
Wer Mozi abgeschaltet hat, ist noch unklar
Obwohl die Funktionalität der Mozi-Bots durch dieses Update stark beeinträchtigt wurde, betonen die Forscher, die Malware habe ihre Persistenz beibehalten. Eine Reaktivierung scheint damit nicht ausgeschlossen zu sein. Die bestehende Persistenz sei auch ein Hinweis darauf, dass es sich wahrscheinlich um eine absichtliche und kalkulierte Abschaltung gehandelt habe. Dafür spreche auch die Tatsache, dass das Botnetz zeitversetzt zuerst in Indien und etwa eine Woche später in China deaktiviert wurde.
Die Sicherheitsforscher nehmen an, dass die Ersteller der Mozi-Malware die Abschaltung selber eingeleitet haben - entweder aus freien Stücken oder auf Druck chinesischer Strafverfolgungsbehörden. Abschließend geklärt seien die Verantwortlichkeiten in diesem Fall aber noch nicht. Eine detaillierte Analyse zu der Deaktivierung von Mozi wolle das Forscherteam zu einem späteren Zeitpunkt veröffentlichen.
Erst Ende August hatte das FBI die Zerschlagung des Qakbot-Botnetzes bekanntgegeben. Dafür infiltrierte die US-Behörde dessen Infrastruktur und brachte über 700.000 infizierte Systeme durch die Verteilung einer Deinstallationsdatei dazu, die zugehörige Malware selbst zu entfernen. Die Akteure hinter Qakbot sind aber wohl noch immer aktiv .