Eins weniger: IoT-Botnet Mozi abgeschaltet

B2B Cyber Security ShortNews

Beitrag teilen

Ende September 2023 war für „Mozi“ plötzlich Schluss. Noch bis Ende September 2023 griff das IoT-Botnet jedes Jahr Schwachstellen in hunderttausenden IoT-Geräten an. Chinesische Strafverfolgungsbehörden könnten für die Abschaltung verantwortlich sein.

Das Internet of Things Botnet Mozi nutzte bis Ende September 2023 jedes Jahr Schwachstellen in hunderttausenden IoT-Geräten wie Internet-Routern oder digitalen Videorecordern aus – unter anderem auch in Deutschland. Mozi konnte damit DDoS-Angriffe (Distributed Denial of Service) starten, Daten exfiltrieren oder beliebige Befehle ausführen. ESET Forscher konnten nachweisen, dass ein sogenannter „Kill Switch“ (Notausschalter) das Ende von Mozi einläutete und möglicherweise chinesische Strafverfolgungsbehörden hinter der Abschaltung stecken.

Anzeige

Mozi Abschaltung deutete sich frühzeitig an

Bereits vor dem Aus von Mozi beobachtete ESET über das User Datagram Protocol (UDP) einen unerwarteten Rückgang der Botnet-Aktivitäten. Dieser begann in Indien und setzte sich sieben Tage später auch in China fort. Einige Wochen danach identifizierte und analysierte das ESET Team um Ivan Bešina den Kill Switch, der das Ende von Mozi besiegelte. Der Notausschalter dient in der IT dazu, ein Gerät oder ein Programm im Notfall abzuschalten oder herunterzufahren.

„Der Untergang eines der produktivsten IoT-Botnets ist ein faszinierender Fall für die Cyber-Forensik. Dieser liefert uns interessante technische Erkenntnisse darüber, wie solche Botnets in der freien Wildbahn entwickelt, betrieben und zerstört werden“, sagt ESET Forscher Ivan Bešina.

Per Update zum Aus

Durch ein manipuliertes Update verloren die Mozi-Bots ihre Funktionalität. Am 27. September 2023 entdeckten die ESET Forscher eine Konfigurationsdatei in einer UDP-Nachricht, in der der typische Inhalt fehlte. Sie fungierte stattdessen als Kill Switch. Dieser stoppte die ursprüngliche Mozi-Malware, deaktivierte bestimmte Systemdienste, ersetzte die ursprüngliche Mozi-Datei durch sich selbst, führte bestimmte Router-/Gerätekonfigurationsbefehle aus und deaktivierte den Zugriff auf verschiedene Ports. Trotz der drastischen Funktionseinschränkung blieben die Mozi-Bots bestehen, was auf eine geplante Abschaltung hindeutet. Die Analyse des Kill Switch durch ESET ergab eine starke Verbindung zwischen dem ursprünglichen Quellcode des Botnets und der letzten Konfigurationsdatei, was für eine Abschaltung durch die Ersteller der Malware hindeutet – aus eigenem Antrieb oder unter Zwang.

Verursacher nicht eindeutig identifiziert

„Es gibt zwei mögliche Verursacher für diese Zerschlagung. Dies wäre zum einen der ursprüngliche Ersteller des Mozi-Botnets selbst. Zum anderen deuten Indizien darauf hin, dass chinesische Strafverfolgungsbehörden möglicherweise den oder die ursprünglichen Akteure zur Zusammenarbeit gezwungen haben. Die Tatsache, dass erst Indien und dann China ins Visier genommen wurden, zeigt womöglich, dass die Zerschlagung absichtlich durchgeführt wurde“, erklärt Bešina.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Hacker attackieren statistisches Bundesamt Destatis

Das Statistische Bundesamt - Destatis - wurde Opfer eines Hackerangriff. Da es Hinweise auf ein Datenleck gab, wurde das Meldesystem ➡ Weiterlesen

Leitfaden zur KI-Verordnung

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Zwei Drittel der Unternehmen brauchen Hilfe bei der Umsetzung der KI-Verordnung ➡ Weiterlesen

Bring your own KI

In jedem dritten Unternehmen werden private KI-Zugänge genutzt. Auf der anderen Seite hat bisher nur jedes siebte Unternehmen Regeln zum ➡ Weiterlesen

Datensicherheit: Backup-Strategie ist das Rückgrat

Als Folge des fehlerhaften CrowdStrike Updates im Sommer diesen Jahres kam es bei fast jedem zweiten betroffenen Unternehmen in Deutschland ➡ Weiterlesen

Studie: Digitale Mitarbeitererfahrung verbessert die Cybersicherheit

Neun von zehn Führungskräften sind überzeugt, dass ihr Unternehmen gewinnt, wenn sie digitale Mitarbeitererfahung priorisieren, so die Ergebnisse einer Umfrage. ➡ Weiterlesen

Patchday bei SAP

SAP hat mehrere Patches veröffentlicht, die insgesamt acht Schwachstellen betreffen. Eine davon ist als schwerwiegend eingestuft. Am schwersten wiegt eine ➡ Weiterlesen

Disaster-Recovery-Ereignisse bei Microsoft 365

Ein globales Softwareunternehmen, das IT-Dienstleister bei der Bereitstellung von Fernüberwachung und -verwaltung, Datenschutz als Service und Sicherheitslösungen unterstützt, hat den ➡ Weiterlesen

KI-Sicherheitsmemorandum in den USA

Die KI-Sicherheit steht an einem Wendepunkt. Das erste National Security Memorandum (NSM) für künstliche Intelligenz markiert einen wichtigen Meilenstein – ➡ Weiterlesen