Mozi-Botnetz: Abschaltung und Regierungskooperationen – Neue Erkenntnisse
Das Mozi-Botnetz war jahrelang eine der größten und aktivsten Gruppen dieser Art. Seit 2019 haben unbekannte Kriminelle jährlich Hunderttausende von Hosts infiziert, hauptsächlich DSL-Router und andere IoT-Geräte. Besonders in China wurden die meisten infizierten Geräte registriert. Doch im August dieses Jahres kam die Aktivität des Botnets abrupt zum Stillstand.
Sicherheitsforscher haben sich daraufhin intensiv mit der Malware des Mozi-Botnetzes beschäftigt und sind dabei auf eine ungewöhnliche Entdeckung gestoßen. Experten des Softwareherstellers ESET entdeckten am 27. September ein UDP-Paket (User Datagram Protocol), das anstatt der üblichen Befehle für die Mozi-Bots einen Notausschalter zu aktivieren schien. Als Reaktion darauf stoppten die Bots ihre schädlichen Aktivitäten, unterbrachen externe Verbindungen und beendeten ihren Betrieb.
Ivan Bešina, Sicherheitsforscher bei ESET, äußerte den Verdacht, dass sowohl die chinesische Regierung als auch die Urheber der Malware für die Abschaltung verantwortlich sein könnten. Er vermutet, dass die chinesischen Sicherheitsbehörden die Kriminellen möglicherweise zur Zusammenarbeit gezwungen haben und gemeinsam mit ihnen das Botnetz zuerst in Indien und anschließend in China deaktiviert haben. Bešina stützt sich dabei auf die Analyse der Abschaltbefehle, die eine bemerkenswerte Ähnlichkeit mit denen des regulären Mozi-Betriebs aufweisen und zudem mit den gleichen kryptografischen Schlüsseln signiert sind.
Trotz dieser Erkenntnisse gibt es immer noch Unsicherheit darüber, was genau zur Abschaltung des Mozi-Botnetzes geführt hat und welche Motivation und Hintergründe dahinterstecken. In der Vergangenheit wurde beobachtet, dass die Urheber von Botnetzen nach einer Deaktivierung rasch neue Malware installieren und ihre Aktivitäten fortsetzen. Als Beispiel dafür dient das Qakbot-Netzwerk, das erst kürzlich von Ermittlern deaktiviert wurde, jedoch umgehend mit neuer Schadsoftware wieder auferstand.
Im vergangenen Jahr gelang es internationalen Strafverfolgungsbehörden einen bedeutenden Schlag gegen das russische RSOCKS-Botnetz durchzuführen. Die Ermittler werden auch weiterhin versuchen, gegen diese Bedrohungen vorzugehen und die Urheber zur Rechenschaft zu ziehen. Die Abschaltung des Mozi-Botnetzes zeigt jedoch, dass es auch andere Wege gibt, wie solche Netzwerke gestoppt werden können. Die genauen Hintergründe dieser ungewöhnlichen Abschaltung werden sicherlich weiterhin von Sicherheitsforschern untersucht und könnten neue Erkenntnisse über die Zusammenarbeit von Regierungen und Kriminellen in der Cyberkriminalität liefern.
Schlagwörter: MoziBotnet + IoTGeräte + UDPPaket
Wie bewerten Sie den Schreibstil des Artikels?