Notausschalter besiegelt Ende des IoT-Botnets Mozi

Eins der produktivsten Internet of things (IoT)-Botnets verschwand Ende September 2023. Dieses Botnet nutzte bis dahin jedes Jahr Schwachstellen in hunderttausenden IoT-Geräten wie Internet-Routern oder digitalen Videorecordern aus – unter anderem auch in Deutschland. Mozi konnte damit DDoS-Angriffe starten, Daten exfiltrieren oder beliebige Befehle ausführen. Bereits vor dem Aus von Mozi beobachtete ESET über das User Datagram Protocol (UDP) einen unerwarteten Rückgang der Botnet-Aktivitäten. Dieser begann in Indien und setzte sich sieben Tage später auch in China fort. Einige Wochen danach identifizierte und analysierte das ESET-Team den Kill Switch, der das Ende von Mozi besiegelte. „Der Untergang eines der produktivsten IoT-Botnets ist ein faszinierender Fall für die Cyber-Forensik. Dieser liefert uns interessante technische Erkenntnisse darüber, wie solche Botnets in der freien Wildbahn entwickelt, betrieben und zerstört werden“, sagt ESET-Forscher Ivan Bešina.

Per Update zum Aus

Durch ein manipuliertes Update verloren die Mozi-Bots ihre Funktionalität. Am 27. September 2023 entdeckten die Forscher eine Konfigurationsdatei in einer UDP-Nachricht, in der der typische Inhalt fehlte. Sie fungierte stattdessen als Kill Switch. Dieser stoppte die ursprüngliche Mozi-Malware, deaktivierte bestimmte Systemdienste, ersetzte die ursprüngliche Mozi-Datei durch sich selbst, führte bestimmte Router-/Gerätekonfigurationsbefehle aus und deaktivierte den Zugriff auf verschiedene Ports. Trotz der drastischen Funktionseinschränkung blieben die Mozi-Bots bestehen, was auf eine geplante Abschaltung hindeutet. Die Analyse des Kill Switch ergab eine starke Verbindung zwischen dem ursprünglichen Quellcode des Botnets und der letzten Konfigurationsdatei, was für eine Abschaltung durch die Ersteller der Malware hindeutet – aus eigenem Antrieb oder unter Zwang.

Verursacher nicht eindeutig identifiziert

„Es gibt zwei mögliche Verursacher für diese Zerschlagung. Dies wäre zum einen der ursprüngliche Ersteller des Mozi-Botnets selbst. Zum anderen deuten Indizien darauf hin, dass chinesische Strafverfolgungsbehörden möglicherweise den oder die ursprünglichen Akteure zur Zusammenarbeit gezwungen haben. Die Tatsache, dass erst Indien und dann China ins Visier genommen wurden, zeigt womöglich, dass die Zerschlagung absichtlich durchgeführt wurde“, erklärt Bešina.

Roger Homrich

Recent Posts

Shokz OpenRun Pro 2: Die perfekte Kombination aus Knochenschall und Air-Conduction Technik

Die neuen OpenRun Pro 2 von Shokz sind die neueste Weiterentwicklung der beliebten offenen Sportkopfhörer.…

2 Tagen ago

UPDF: PDF-Software zu einem Viertel des Preises von Adobe

PDF-Bearbeitungssoftware jetzt im Black Friday Sale mit 50 Prozent Rabatt!

3 Tagen ago

Neuer Bedarf an Workplace Services durch DEX und KI

ISG untersucht deutschen Workplace-Services-Markt. Digital Employee Experience (DEX) gilt als Schlüssel für neues Wachstum.

3 Tagen ago

SEO-Beratung von Spezialisten wie WOXOW: Deshalb wird sie immer wichtiger

Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…

4 Tagen ago

Umfrage: Weniger als die Hälfte der digitalen Initiativen sind erfolgreich

Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…

4 Tagen ago

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

4 Tagen ago