Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Das Ende des Mozi Botnets

B.Sc. Thomas Henning

Cyberbedrohungen nehmen seit Jahren zu und sogenannte Botnetze gehören ganz sicher zu den größeren Bedrohungen der digitalen Welt. Diese Botnetze sind ferngesteuert und reagieren auf Befehle eines bösartigen Akteurs. Wer infiziert ist, merkt dies meist nicht einmal, lediglich die Rechenleistung sinkt, da entsprechende Hintergrundaktivitäten ausgeführt werden. Ansonsten verhält sich ein infiziertes Gerät größtenteils unauffällig, sodass nicht sofort klar wird, dass es Teil eines Botnetzes geworden ist.

Umso erfreulicher und vielleicht auch erstaunlicher ist es nun, dass das Botnetz Mozi entlarvt wurde. Mozi gehörte zu den größten bekannten Botnetzen der Welt und galt unter diesen als besonders aggressiv. Sicherheitsforschern ist es inzwischen jedoch gelungen, das Ende von Mozi zu protokollieren. Ein großer und spannender Schritt, wie wir finden.

Wie es dazu kam und was das Mozi Botnet überhaupt war, möchten wir in diesem Beitrag ein wenig aufarbeiten. Eine packende Geschichte, jedenfalls aus unserer Sicht als Experten auf dem Gebiet der Cybersicherheit, die wir Ihnen unbedingt erzählen wollen. Auch deshalb, weil sie spannend wie ein Krimi ist.

Als das Mozi Botnetz plötzlich verstummte

Wir schreiben August 2023 und Sicherheitsforscher auf der ganzen Welt stehen vor einem Rätsel. Was ist geschehen mit dem von ihnen beobachteten Botnetz, welches den Namen Mozi erhalten hat? Es ist nicht mehr auszumachen und die infizierten Rechner, die gefunden wurden, scheinen schon wieder inaktiv zu sein. Doch warum ist das so und welche Hintergründe hat das Vorgehen? Wer hat die Rechner im Botnetzwerk deaktiviert? Auf diese Frage gibt es erst einmal keine Antwort, und doch ist die Deaktivierung von Mozi ein großer Sieg gegen die Cyberkriminalität. 

Dann beginnt die Nachforschung und die Forscher sind sich einig, dass ein sogenannter Kill-Switch betätigt wurde. Also ein Schalter, der alle infizierten Rechner gleichzeitig von dem Botnetz trennt. Doch wer hat diesen Kill-Switch bedient und warum? War es der Betreiber selbst, der das Botnetz einst zum Leben erweckte oder ist es einem Sicherheitsforscher gelungen, das Mozi Botnetz erfolgreich und nahezu vollständig auszuschalten?

Mutmaßlich hat die Deaktivierung des Mozi Botnetzes damit zu tun, dass chinesische Behörden kürzlich hart durchgriffen und verschiedene Akteure auf diesem Gebiet festnahmen. Fortan sank die Aktivität von Mozi von ca. 13.000 auf 3.500 Botnet-Aktivitäten. Doch wer und warum dafür verantwortlich war, bleibt weiterhin unklar.

Wie ein Botnet aufgebaut ist und funktioniert

Doch gehen wir zunächst noch einmal einen Schritt zurück und klären, was genau ein Botnetz ist und welche Aufgaben ihm zuteilwerden. Ein Botnetz ist ein aufgebautes Netzwerk von Zombie-Rechnern, den sogenannten Bots. Angreifer infizieren also möglichst viele Systeme, die dann auf ihren Wunsch hin entsprechende Aufgaben ausführen und dabei wie Zombies agieren. Es handelt sich demnach um Rechner mit Malware, die es Angreifern erlauben, unentdeckt im Hintergrund Programme zu starten oder bestimmte Aufgaben auszuführen.

Die Bots in einem Botnetz können unter anderem Aufgaben ausführen wie: Malware verbreiten, neue Systeme infizieren, Spam-Mails versenden, Cryptomining betreiben, DDoS-Angriffe starten und vieles mehr. Im Grunde all das, was den Einsatz vieler unterschiedlicher Geräte erforderlich macht. Die Bots hören dabei blind auf das, was der Betreiber des Netzwerkes von ihnen verlangt, und erledigen dies meist im Hintergrund, damit es nicht auffällt.

Für die Betreiber liegt der Vorteil hingegen an der schieren Anzahl von Geräten. Sie haben Kontrolle über derart viele Devices, dass DDoS-Angriffe problemlos möglich sind, genau wie alle anderen Arten von Angriffen. Außerdem werden sie selbst dabei nie entdeckt, weil sie die Rechner gewissermaßen nur per Fernsteuerung ansprechen und so relativ einfache Befehle verteilen. Botnetze sind also mächtige Werkzeuge im Bereich Phishing, Scamming, Hacking und der Verbreitung von Malware, Viren sowie auch Trojanern.

Mozi Botnetz und seine Besonderheiten

Nun ist das Mozi Bonetz in vielerlei Hinsicht etwas Besonderes. Es handelt sich bei Botnetzen nämlich für gewöhnlich um überschaubare Versuche von Angreifern, die oft nicht sehr weit reichen und dementsprechend auch relativ klein bleiben. Mozi nicht. Das Mozi Botnetz gehörte mit zu den größten seiner Art. Es war gigantisch und die Auswirkungen wurden von vielen Sicherheitsforschern weltweit über viele Jahre hinweg analysiert.

Mozi selbst konzentrierte sich dabei offenkundig auf IoT-Geräte. Diese werden bekanntermaßen nur selten gewartet, bekommen kaum Updates, sind fast immer unsicher und noch dazu permanent vernetzt. Mozi hatte eine schiere Vielzahl von solchen Geräten in Besitz genommen. Darunter waren Überwachungskameras und Smart Home Technik, aber auch andere vernetzte ioT-Geräte.

Das Besondere an Mozi war zudem, dass es auf bekannte Malware zurückzuführen war, wie unter anderem Gafgyt, Mirai und den IoT Reaper. Es nutzte vorwiegend Standardpasswörter in IoT-Geräten aus oder setzte auf bekannte Sicherheitslücken, die mit hoher Wahrscheinlichkeit nicht gepatcht waren. Die genaue Größe von Mozi bleibt weiterhin unklar, es war aber definitiv eines der größten und aktivsten Botnetze, die jemals entlarvt wurden.

Die Sache mit dem Kill-Switch

Am 8. August 2023 wurde das Botnetz überraschend heruntergefahren. Zunächst einmal nur in Indien, wie die Forscher nachweisen konnten. Am 16. August 2023 ging es dann Schlag auf Schlag weiter und die Aktivität von Mozi endete auch in China. Warum, darüber hatten wir weiter oben schon geschrieben. Die Betreiber in China wurden wohl verhaftet, was den Einbruch aller Aktivitäten nach sich zog. Dennoch ist es ungewöhnlich, dass das Botnetz anschließend erst in Teilen heruntergefahren wurde.

Sicherheitsforscher sind sich daher einig, dass ein sogenannter Kill Switch betätigt wurde. Forscher entdeckten selbigen am 27. September 2023. Durch ein speziell präpariertes Datenpaket wurde das Mozi Botnetzwerk achtmal angewiesen, sich über eine HTTP-Verbindung zu aktualisieren. Erst als dieser Befehl durch war, verstummte auch das Botnetz nahezu vollständig.

Bis heute weiß jedoch niemand, wer diesen Kill Switch bedient haben soll. Auch ist unklar, warum er tatsächlich aktiviert worden ist. Wurden die Betreiber vielleicht gar nicht alle verhaftet und ein nicht gefasster entschied sich daraufhin, den Kill Switch zu betätigen? Oder haben die chinesischen Behörden das Botnetz übernommen und vorläufig abgeschaltet? Gefahr geht von Mozi nämlich auch weiterhin aus.

Zukünftige Gefahr durch Mozi

Denn was ganz klar erwähnt werden muss, ist, dass das Mozi Botnetz nicht einfach verschwunden ist. Mozi wurde lediglich per Kill Switch abgeschaltet. Sicherheitsforscher betonen, dass die Funktionalität durch die getätigten Maßnahmen zwar stark beeinträchtigt wurde, aber Mozi dadurch nicht vollkommen inaktiv ist. Die Persistenz der Malware bleibt weiterhin bestehen, ließen sie verlauten.

Durch die anhaltende Persistenz ist auch eine Reaktivierung von Mozi möglich, und die Experten gehen weltweit davon aus, dass dies auch geschehen wird oder zumindest geschehen könnte. Laut Analysen war die Abschaltung von Mozi sehr durchdacht und kalkuliert. Die Wahrscheinlichkeit ist daher auch groß, dass die Abschaltung absichtlich vollzogen wurde. Sicherheitsforscher begründen dies unter anderem damit, dass die zeitversetzte Abschaltung in Indien und China ebenfalls darauf hindeutet, dass mit voller Absicht eine Deaktivierung stattgefunden hat. Das war kein Zufall.

Inzwischen ist zudem eine weitere Variante aufgetaucht. Die wurde mit demselben korrekten privaten Schlüssel signiert, wie es die Mozi-Betreiber einst bei Mozi vollzogen. Es ist also fast sicher davon auszugehen, dass das Mozi Botnetz nur abgeschaltet wurde, nun aber zeitnah wiederbelebt werden soll. Wenn dies nicht von den ursprünglichen Entwicklern vollzogen wurde, dann ganz sicher von Akteuren aus deren Umfeld, denn dazu ist die neue Variante zu ähnlich zu der vorherigen.

Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!

Cybersicherheit bedeutet umfassenden Schutz

Die Geschichte rund um das Mozi Botnetzwerk klingt wie ein Krimi und ist auch ähnlich dynamisch. Erst hält das Netzwerk von Zombie-Computern Sicherheitsforscher auf der ganzen Welt auf Trab. Dann bricht dessen Aktivität plötzlich ein. Und aufgrund eines bestätigten Kill Switchs, von dem bis heute niemand weiß, wer ihn konkret ausgelöst haben könnte, verschwindet es zeitweise sogar fast vollständig, bevor es auf einmal wieder auftaucht.

War es der Betreiber selbst, der den Kill Switch für Mozi betätigt hat? Waren es die Strafverfolgungsbehörden in China, die die Betreiber hinter Mozi verhafteten und dazu brachten? Oder war es ein Akteur, der in Verbindung stand, aber nicht verhaftet wurde und nun seine erweitere neue Variante von Mozi an den Start bringt, um das Botnetz zu übernehmen?

Viele Fragen tun sich auf und klar ist nur, dass es weitgehend inaktiv blieb, seit all diesen Vorfällen. Gut für die Cyberkriminalität, denn auch die ging infolgedessen natürlich zurück. Botnetze sind oft für eine Vielzahl an Angriffen verantwortlich, weshalb es meist spürbar ist, wenn ein größeres Netzwerk entsprechend zerschlagen wird. So auch im Falle von Mozi. 

Als Schlussfolgerung bleibt nur, dass Botnetzwerke gefährlich sind und vermutlich nie gänzlich verschwinden werden. Die Größe, die sie annehmen, legt zudem nahe, dass zu viele Geräte, in diesem Fall aus dem Bereich ioT, unsicher sind und kaum geschützt werden. Setzen Sie in Ihrem Unternehmen daher bitte von Anfang an auf entsprechend robuste Netzwerksicherheitsmaßnahmen. Ganz gleich, ob es um eine Überwachungskamera oder einen Toaster geht, sobald dieser online ist, sollte er Teil einer umfangreichen Sicherheitsstrategie sein und regelmäßig kontrolliert und mit Updates versehen werden. Zu gefährlich sind diese kleinen Schwachstellen.

Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.

Foto des Autors

B.Sc. Thomas Henning

Mein Name ist Thomas Henning. Ich bin Offensive Security Consultant und Speaker bei der AWARE7 GmbH. Meinen Bachelor of Science habe ich mit der Fachrichtung Informatik abgeschlossen. Zu meinen täglichen Aufgaben gehören Sicherheitsüberprüfungen von allen für die technische Infrastruktur relevanten Facetten eines Unternehmens. Darunter fallen externe und interne Tests der IT-Systeme wie auch Social Engeneering Einsätze, bei denen die Mitarbeiter unserer Kunden im Fokus stehen. Als Referent und Speaker der AWARE7 liegt mein Schwerpunkt auf der Vermittlung von Wissen im Bereich der IT und Informationssicherheit sowie der Schaffung eines Bewusstseins für diese wichtigen Themen.
AWARE7 GmbH - Logo

0209 - 8830 6760

info@aware7.de

Öffnungszeiten
Montag - Freitag
8:00 - 17:00 Uhr

Anfahrtsbeschreibung
Google Plus Code F4X5+M2

Unternehmen

AWARE7 GmbH
Munscheidstr. 14
45886 Gelsenkirchen
Impressum | Datenschutz

Forschung & Entwicklung
Über uns
Karriere

Informationen

Schulungen & Workshops

T.I.S.P.-Expertenzertifikat

Ressourcen

Kostenfreies E-Learning
Erfolgsgeschichten
Downloads
Projekte

ISO 27001 Zertifizierung - AWARE7 GmbH
Profil von AWARE7 GmbH in Ariba Discovery anzeigen