Mozi IoT-Botnet: Kill Switch stoppt Operationen
Überraschenderweise verzeichnete das Mozi-Botnet einen plötzlichen und deutlichen Rückgang der bösartigen Aktivitäten im August 2023. Dieser unerwartete Rückgang wurde auf den Einsatz eines "Kill-Schalter" der effektiv an die infizierten Bots verteilt wurde. In diesem Artikel befassen wir uns mit den Feinheiten des Mozi IoT Botnet und beleuchten, wie ein zuvor berüchtigtes Internet of Things (IoT)-Botnet neutralisiert werden konnte und welche Geheimnisse sich hinter seiner Zerschlagung verbergen.
Das Mozi IoT-Botnetz: Eine aus Malware-Familien entstandene Bedrohung
Das Mozi-Botnet, ein beeindruckendes IoT-Botnet, entstand aus dem genetischen Material bekannter Malware-Familien, darunter Gafgyt, Miraiund IoT Reaper. Seine Entstehung geht auf das Jahr 2019 zurück. Es ist dafür bekannt, dass es schwache oder voreingestellte Fernzugriffspasswörter und ungepatchte Sicherheitslücken ausnutzt, um sich zunächst Zugang zu anfälligen Geräten zu verschaffen.
Die Verhaftung von Botnet-Betreibern im September 2021
Das Mozi-Botnet war kein Unbekannter im Rampenlicht. Im September 2021 gaben Forscher des Cybersicherheitsunternehmens Netlab bekannt, dass die Betreiber des Botnetzes von den chinesischen Behörden festgenommen worden waren. Diese Entwicklung weckte Hoffnungen auf eine deutliche Verringerung des Einflusses von Mozi, doch die eigentliche Wende sollte erst noch kommen.
IoT-Botnet-Betrieb gestoppt
Das Faszinierendste an dieser Geschichte ist der plötzliche Rückgang der Aktivität von Mozi. Innerhalb weniger Tage sank die Aktivität des Botnets von rund 13.300 Hosts am 7. August auf nur noch 3.500 am 10. August. Was war die Ursache für diesen rapiden Rückgang der Botnet-Aktivitäten?
Enträtseln des Kill Switches
Der Schlüssel zu diesem Rätsel liegt in der Verwendung des so genannten "Kill Switch". Diese mysteriöse Kontroll-Nutzlast wurde an die Mozi-Bots weitergegeben und ihre Funktionalität lahmgelegt während er ihnen erlaubte, weiter zu bestehen. Der Kill Switch verfügte über bemerkenswerte Fähigkeiten, darunter das Beenden der Malware-Prozesse, das Deaktivieren
wichtige Systemdienste wie SSHD und Dropbear und ersetzte Mozi schließlich durch sich selbst.
Beharrlichkeit im Angesicht der Störung
Trotz der drastischen Funktionseinschränkung gelang es den Mozi-Bots, ihre Persistenz zu bewahren. Diese Widerstandsfähigkeit deutet auf eine bewusste und kalkulierte Anstrengung zur Zerschlagung des Botnetzes hin, die von einem unbekannten Akteur mit einem ausgeprägten Verständnis seiner inneren Funktionsweise orchestriert wurde. Die Sicherheitsforscher Ivan Bešina, Michal Škuta und Miloš Čermák beleuchten die Störung des Botnetzes.
Eine zweite Variante taucht auf
Die Sache verdichtet sich mit dem Auftauchen einer zweiten Variante der Kontroll-Nutzlast. Diese neue Variante brachte geringfügige Änderungen mit sich, darunter eine Funktion, die es ermöglichte, einen entfernten Server anzupingen, wahrscheinlich zu statistischen Zwecken. Noch faszinierender ist die starke Überschneidung zwischen dem Kill Switch und dem ursprünglichen Quellcode des Botnets sowie die Tatsache, dass er mit dem korrekten privaten Schlüssel signiert wurde, der zuvor von den ursprünglichen Mozi-Betreibern verwendet wurde.
Das Rätsel um den Kill Switch Initiator
Eine der drängendsten Fragen in dieser Geschichte ist die Identität der Person oder Gruppe, die hinter der Auslösung des Kill Switches steht. Bis heute gibt es keine bestätigten Berichte darüber, wer die Zerschlagung des Mozi-Botnets veranlasst hat. Es sind verschiedene Hypothesen aufgetaucht, die darauf hindeuten, dass entweder die ursprünglichen Ersteller des Mozi-Botnets selbst oder die chinesischen Strafverfolgungsbehörden, möglicherweise in Zusammenarbeit mit den Erstellern, dafür verantwortlich waren.
Der Fall eines berüchtigten Botnets und seine Auswirkungen
Die Zerschlagung des Mozi-Botnets gibt uns wertvolle Einblicke in die Erstellung, den Betrieb und die Beendigung solcher bösartiger Einheiten in freier Wildbahn. Es gibt zwei potenzielle Initiatoren für diese Zerschlagung: entweder die ursprünglichen Ersteller des Mozi-Botnets oder die chinesischen Strafverfolgungsbehörden, möglicherweise in Zusammenarbeit mit den ursprünglichen Akteuren oder unter deren Zwang. Insbesondere die Tatsache, dass Indien und China nacheinander angegriffen wurden, deutet auf eine gezielte Strategie hin, bei der ein Land zuerst und das andere eine Woche später betroffen war.
Schlussfolgerung
Die Geschichte des IoT-Botnets Mozi und sein plötzlicher Niedergang, der durch einen mysteriösen Kill-Switch ausgelöst wurde, bietet einen fesselnden Einblick in die sich ständig weiterentwickelnde Welt der Cybersicherheit. Während die wahre Identität des Kill-Switch-Auswirkung geheim gehalten wird, unterstreicht das Ereignis das Katz-und-Maus-Spiel zwischen bösartigen Akteuren und denjenigen, die unermüdlich daran arbeiten, die digitale Welt zu schützen. Es ist wichtig, Folgendes zu implementieren robuste Netzwerksicherheitsmaßnahmen um geschützt zu bleiben.
Der Fall des Mozi-Botnets erinnert uns an die unermüdlichen Bemühungen, unsere vernetzte Welt vor Cyber-Bedrohungen zu schützen, und lässt uns mit einem Gefühl der Verwunderung und Neugierde auf die Zukunft der Cybersicherheit zurück.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Cyber Security News.