Sicherheitsforscher geben an, beobachtet zu haben, was ihrer Meinung nach eine Abschaltung des berüchtigten Mozi-Botnetzes ist, das mehr als eine Million Internet-of-Things-Geräte weltweit infiltriert hat.
In einer Studie, die Tech vor der Veröffentlichung am Dienstag mitgeteilt wurde, sagen Forscher des Cybersicherheitsunternehmens ESET, dass sie während einer Untersuchung des Botnetzes Zeuge des „plötzlichen Untergangs“ von Mozi geworden seien.
Mozi ist ein Peer-to-Peer-Botnetz für das Internet der Dinge, das schwache Telnet-Passwörter und bekannte Exploits ausnutzt, um Heimrouter und digitale Videorecorder zu kapern. Das erstmals 2019 von 360 Netlab entdeckte Botnetz nutzt Massen dieser gekaperten Geräte, um DDoS-Angriffe, die Ausführung von Nutzlasten und die Datenexfiltration zu starten. Mozi hat seit 2019 mehr als 1,5 Millionen Geräte infiziert, wobei der Großteil – mindestens 830.000 Geräte – aus China stammte.
Microsoft warnte im August 2021, dass Mozi sich weiterentwickelt habe, um durch die Anpassung seiner Persistenzmechanismen Persistenz auf Netzwerk-Gateways von Netgear, Huawei und ZTE zu erreichen. Im selben Monat 360 Netlab angekündigt dass es an einer chinesischen Strafverfolgungsoperation zur Festnahme der Autoren von Mozi mitgewirkt hatte.
ESET, das einen Monat vor diesen Festnahmen eine Untersuchung gegen Mozi eingeleitet hatte, gab an, im August dieses Jahres einen dramatischen Rückgang der Aktivitäten von Mozi beobachtet zu haben.
Ivan Bešina, ein leitender Malware-Forscher bei ESET, erklärt gegenüber Tech, dass das Unternehmen zuvor weltweit täglich etwa 1.200 einzigartige Geräte überwacht habe. „Wir haben im ersten Halbjahr dieses Jahres 200.000 einzigartige Geräte und im Juli 2023 40.000 einzigartige Geräte gesehen“, sagte Bešina. „Nach dem Absturz konnte unser Überwachungstool täglich nur etwa 100 einzelne Geräte untersuchen.“
Dieser Rückgang wurde zuerst in Indien beobachtet, gefolgt von China – das zusammen 90 % aller infizierten Geräte weltweit ausmacht – erklärt Bešina gegenüber Tech und fügt hinzu, dass Russland das dritthäufigste infizierte Land sei, gefolgt von Thailand und Südkorea.
Laut ESET wurde der Aktivitätseinbruch durch ein Update der Mozi-Bots – Geräte, die mit Mozi-Malware infiziert waren – verursacht, die ihnen ihre Funktionalität entzogen. Das Unternehmen gab an, den Kill-Schalter identifizieren und analysieren zu können, der Mozis Untergang verursachte. Dieser Kill-Switch stoppte und ersetzte die Mozi-Malware, deaktivierte einige Systemdienste, führte bestimmte Router- und Gerätekonfigurationsbefehle aus und deaktivierte den Zugriff auf verschiedene Ports.
Laut ESET weist die Analyse des Kill-Schalters, die einen starken Zusammenhang zwischen dem ursprünglichen Quellcode des Botnets und kürzlich verwendeten Binärdateien zeigte, auf eine „absichtliche und kalkulierte Abschaltung“ hin. Die Forscher sagen, dass dies darauf hindeutet, dass die Abschaltung wahrscheinlich vom ursprünglichen Ersteller des Mozi-Botnets oder von chinesischen Strafverfolgungsbehörden durchgeführt wurde, möglicherweise unter Einbeziehung oder Erzwingung der Zusammenarbeit der Botnet-Betreiber.
„Der größte Beweis ist, dass dieses Kill-Switch-Update mit dem richtigen privaten Schlüssel signiert wurde. Ohne dies würden die infizierten Geräte dieses Update nicht akzeptieren und anwenden“, sagte Bešina gegenüber Tech. „Soweit wir wissen, hatten nur die ursprünglichen Mozi-Betreiber Zugriff auf diesen privaten Signaturschlüssel. Die einzige andere Partei, die vernünftigerweise an diesen privaten Signaturschlüssel gelangen könnte, ist die chinesische Strafverfolgungsbehörde, die die Mozi-Betreiber im Juli 2021 gefasst hat.“
Bešina fügte hinzu, dass die Analyse der Kill-Switch-Updates durch ESET ergab, dass sie aus demselben Basisquellcode kompiliert worden sein müssen. „Das neue Kill-Switch-Update ist nur eine ‚abgespeckte‘ Version des ursprünglichen Mozi“, sagte Bešina.
Die scheinbare Abschaltung von Mozi erfolgt Wochen, nachdem das FBI das berüchtigte Qakbot-Botnetz ausgeschaltet und zerschlagen hat, einen Banktrojaner, der dafür bekannt wurde, dass er anderen Hackern einen ersten Halt im Netzwerk eines Opfers verschaffte, um sich Zugriff zu erkaufen und ihre eigene Malware zu verbreiten.