Das Ende des Mozi-Botnet: Wer hat es abgeschaltet?
von Tina Siering
Die Mozi Malware trat 2019 erstmalig in Erscheinung und hat es in nur wenigen Jahren geschafft, weltweit mehr als 1,5 Millionen IoT-Geräte zu infizieren. Die Schadsoftware ist auf IoT-Endgeräte und DSL-Router spezialisiert und darauf ausgelegt, großflächige Botnetze zu errichten, die in der Folge unter anderem für DDoS-Attacken, für das Exfiltrieren von Daten oder dem Ausführen beliebiger Befehle genutzt wurden. Der geografische Schwerpunkt von Mozi liegt in China, wobei auch in Deutschland zahlreiche Infektionen durch Sicherheitsforscher beobachtet werden konnten. Ende September 2023 wurde das Mozi-Botnet plötzlich abgeschaltet. Möglicherweise stecken hinter dem Ende von Mozi chinesische Strafverfolgungsbehörden.
4 Jahre Mozi-Botnet und die Folgen
Ende 2019 wurden Sicherheitsexperten der IMB X-Force erstmalig auf die Malware Mozi aufmerksam. Die Schadsoftware ähnelt in ihrem Code weitestgehend einer anderen Malware namens Mirai, ist also keine spektakuläre Neuentwicklung auf dem Malware-Markt.
Was bei Mozi allerdings auffällig war:
Die Geschwindigkeit, mit der die Malware IoT-Geräte infizieren konnte. Mozi verdrängte die cyberkriminellen „Wettbewerber“ durch eine Flut an Infektionen – zwischen Oktober 2019 und Juni 2020 war Mozi für fast 90 % des durch Sicherheitsteams überwachten, schädlichen IoT-Netzwerk-Traffics verantwortlich. Mozi ist – oder besser gesagt war – darauf spezialisiert, DSL-Router und IoT-Geräte zu einem peer-to-peer-Netzwerk zusammenzuschließen. Dieses wurde anschließend von den Betreibern der Schadsoftware für großflächige DDoS-Angriffe, für Datenspionage oder dem Ausführen von Befehlen in kompromittierten Netzwerken ausgenutzt.
Das perfide:
Während klassische IT-Systeme und Netzwerke in Unternehmen, Organisationen und auch Privathaushalten mittlerweile gegen Cyberangriffe weitestgehend abgesichert sind, sind Schutzmaßnahmen bei internetfähigen Endgeräten – beispielsweise den genannten DSL-Routern, mit dem Internet verbundenen Smart-Home-Geräten oder auch an Produktionsmaschinen – viel zu häufig noch bestenfalls als rudimentär zu bezeichnen. Die Autoren der Schadsoftware kannten diese globale Schwachstelle genau und es gelang ihnen, Jahr für Jahr hunderttausende Schwachstellen in IoT-Geräten auszunutzen. Wer genau für das wohl produktivste Botnetz der letzten Jahre verantwortlich ist, ist aus offiziellen Quellen nicht zu entnehmen. Sicherheitsforscher vermuten aber, bedingt durch den geografischen Schwerpunkt der Verteilung der Malware, ein chinesisches Cyberkriminellen-Kollektiv hinter Mozi.
August 2023:
Der Anfang vom Ende von Mozi
Cyberkriminelle Aktivitäten werden weltweit von zahlreichen Security-Teams genau beobachtet. So auch Mozi, der für seine hohe Aktivität berüchtigte Wurm unbekannten Ursprungs. Im August verzeichneten Security-Tools einen plötzlichen, absolut unerwarteten Einbruch der Aktivitäten. Am 8. August 2023 wurde Mozi zunächst in Indien, am 16. August 2023 schließlich auch in China stillgelegt. Diese strikte geografische Trennung machte die Sicherheitsexperten nochmals mehr aufmerksam – denn es lässt sich hier eine geplante, organisierte Abschaltung des Schadcodes ableiten.
September 2023: Shutdown per Kill-Switch
Das mutmaßlich geplante Abschalten der Mozi-Botnetze in China und Indien führte zu weiteren Untersuchungen. Sicherheitsteams der ESET konnten im September 2023 die Konfigurationsdatei der Malware in einer UDP-Nachricht aufspüren. Dieser Konfigurationsdatei fehlte die ansonsten typische Verkapselung des BT-DHT-Protokolls. Die Konfigurationsdatei, auch als Kontroll-Payload bezeichnet, wurde von den Akteuren hinter Mozi nachverfolgbar genau achtmal an den Bot gesendet. Jedes Mal erhielt der Bot durch die Datei den Befehl, ein Update von sich selbst via HTTP herunterzuladen. Der Bot wurde so seiner wichtigsten Funktionen beraubt. Unter anderem führten die Befehle zu einem Beenden der übergeordneten Mozi-Malware, zum Deaktivieren von Systemdiensten, der Beendigung des Zugriffs auf diverse Ports der befallenen Endgeräte und einem Einrichten der gleichen Persistenz wie die ersetzte, originale Mozi-Datei. Im Laufe der Untersuchungen entdecken die Sicherheitsexperten zwei Versionen der Konfigurationsdatei. Die neuere Version stellt dabei eine Art Verpackung dar, die die Original-Version mit kleinen Änderungen beinhaltet. Interessant dabei ist die hinzugefügte Version, mit der ein Remote-Server gepingt werden kann. Die Sicherheitsexperten vermuten hier einen Einsatz zu statistischen Zwecken.
Die Konfigurationsdatei dient eindeutig als geplanter Kill-Switch, der die Funktionalität des Mozi-Botnetzes beendet – und gleichzeitig die Persistenz aufrechterhält. Für Sicherheitsexperten ist damit klar: Das Botnetz wurde kalkuliert und mit voller Absicht abgeschaltet.
Wer ist für das Ende von Mozi verantwortlich?
Nach gründlicher Analyse des Kill-Switches wurde eine enge Verbindung zwischen dem Original-Quellcode sowie ein korrekter, privater Signatur-Schlüssel für den Kontroll-Payload ausfindig gemacht. Dieses Detail lässt einen hypothetischen Schluss zu – nämlich, dass zwei Akteure in Betracht kommen, die für das Ende von Mozi gesorgt haben. Zum einen wären da die Ersteller von Mozi zu nennen – die natürlich über die Fähigkeiten verfügen, ihre eigene Kreation effizient, kontrolliert und schnell abzuschalten. Zum anderen könnten auch chinesische Strafverfolgungsbehörden für den Shutdown von Mozi gesorgt haben. Eventuell geriet einer der Ersteller – oder eine ganze Gruppe – ins Visier der chinesischen Behörden und wurden zur Zerschlagung des Botnetzes gezwungen. Ein beabsichtigtes Ende des Mozi-Schadcodes ist nahezu sicher – dies lässt sich mit dem Fakt begründen, dass Mozi zunächst in Indien und dann, nur wenige Tage später, in China funktionslos gemacht wurde.
Ein interessanter Fall für Sicherheitsforscher
Ein plötzliches, kontrolliertes und nachverfolgbares Abschalten eines der bis dato effizientesten, produktivsten Botnetze im Bereich des IoT ist auch für erfahrene IT-Sicherheitsforscher und Forensiker kein alltägliches Ereignis. Entsprechende Aufmerksamkeit bekam der Fall Mozi – nicht nur in Indien und China, sondern weltweit. Das Botnetz zeigt dabei eindrucksvoll, wie sehr sich die Gefahrenlage unter dem Radar gängiger Sicherheitsmechanismen bewegen kann. IoT-Geräte oder DSL-Router stehen in vielen Sicherheitskonzepten weit unten – ein Fehler, wie die extrem schnelle Verbreitung von Mozi gezeigt hat. Auch wenn bis heute noch nicht klar ist, ob die Autoren des Schadcodes aus eigener Entscheidung oder durch den Druck der Strafverfolgungsbehörden das Ende einer Malware-Ära eingeläutet haben: Wir können vorerst aufatmen, zumindest vom Mozi-Botnet geht keine Gefahr mehr aus.