Sicherheitsforscher rätseln: Wer hat das Mozi-Botnet abgeschaltet?

Das Mozi-Botnet gehörte zu den größeren Vertretern seiner Art. Seit 2019 hatten anonyme Kriminelle mehrere Hunderttausend Hosts pro Jahr infiziert – überwiegend DSL-Router und andere IoT-Geräte. Mozis geografischer Schwerpunkt lag in China, wo die Mehrzahl der infizierten Geräte verortet war. Nachdem bereits im August dieses Jahres die Aktivitäten des Botnets zum Erliegen gekommen waren, haben Sicherheitsforscher die Malware analysiert. Sie äußern einen Verdacht, was mit Mozi geschehen sein könne.

Am 27. September beobachteten Experten des Softwareherstellers ESET ein ungewöhnliches UDP-Paket (User Datagram Protocol): Die Kommandos für die Mozi-Bots fehlten, stattdessen aktivierte das Paket offenbar einen Notausschalter. Die Bots stoppten daraufhin ihre Malware-Komponenten, kappten Verbindungen nach außen und stellten den Betrieb ein.

Kontrollierte Abschaltung durch die Autoren?

Für den ESET-Sicherheitsforscher Ivan Bešina kommen als Verantwortliche die chinesische Regierung und die Autoren der Malware infrage. Er vermutet, dass chinesische Sicherheitsbehörden die Kriminellen zur Mitarbeit verpflichtet und mit ihnen gemeinsam zunächst in Indien, dann im Reich der Mitte die Botnet-Zombies abgeschaltet habe.

Seiner Analyse zufolge ähneln die Kommandos zur Abschaltung denen des gewöhnlichen Mozi-Betriebs frappierend und sei zudem mit denselben kryptografischen Schlüsseln signiert. Dennoch bleibt ein Fragezeichen, die Motivation und Hintergründe der Abschaltung sind noch unklar.

Erst kürzlich hatten Ermittler das Qakbot-Netzwerk abgeschaltet, dessen Urheber jedoch postwendend neue Malware installiert. Mitte vergangenen Jahres war internationalen Strafverfolgern ein Schlag gegen das russische RSOCKS-Botnet gelungen. Ähnlich wie bei Qakbot war der Takedown des Emotet-Botnets im Jahr jedoch nicht von nachhaltigem Erfolg gekrönt – die Malware taucht bis heute immer wieder auf.

(cku)