Redactie - 03 november 2023

Wie luidde het einde van het Mozi IoT-botnet in?

Een bijzonder productief IoT-botnet is de afgelopen maanden zo goed als verdwenen in India en China. Onderzoekers bij ESET vermoeden een zogeheten ‘kill switch’, maar wie heeft die aangezet?

Wie luidde het einde van het Mozi IoT-botnet in? image

Het botnet Mozi bestaat sinds 2019 en zou honderdduizenden IoT-toestellen bevatten. Het was volgens onderzoekers bij SecurityIntelligence al snel verantwoordelijk voor zo’n 90% van het wereldwijde IoT-verkeer. Codegewijs heeft het botnet gelijkaardigheden met bijvoorbeeld het beruchte Mirai, dat in 2016 grote delen van het internet wist plat te leggen.

Maar met Mozi lijkt het dus niet zo ver te komen, dat botnet verdween ineens. In augustus van dit jaar observeerde onder meer ESET een daling in activiteiten van Mozi, eerst in India en vervolgens in China. Een zogeheten ‘kill switch’ zou de malware hebben uitgeschakeld.

Update stopt de malware

De plotselinge daling is te wijten aan een update van Mozi-bots die hen hun functionaliteiten ontneemt. Deze kill switch stopte de malware en verving het originele Mozi-bestand door zichzelf. Daarnaast voerde het ook enkele configuratieopdrachten voor routers en toestellen uit, en sloot het netwerkpoorten.

Wie de trekker heeft overgehaald is echter niet duidelijk. ESET-analyse van de kill switch toonde een sterk verband tussen de originele broncode van het botnet, en de update was ook ondertekend met de privésleutels van de originele payloads. Het bedrijf ziet de optie dat de maker van het originele Mozi-botnet het op pensioen heeft gezet, mogelijk om autoriteiten te ontlopen. Maar de manier waarop het botnet eerst in heel India, en een week later in heel China op non-actief werd gezet, doet ook overheidsinmenging vermoeden. Dan kijkt de onderzoeker vooral naar de Chinese overheid, mogelijk met samenwerking van de originele beheerder.

Hoewel het botnet dus niet meer actief is, waarschuwt ESET wel dat de bots nog persistent blijven. Het gaat hier dus momenteel om een zombie botnet. En als we naar voorgangers als bijvoorbeeld Emotet kijken, zou dat nog wel eens terug uit de dood kunnen opstaan.

In samenwerking met Data News

Lenovo Channel Campagne vierkant Sophos 14/11/2024 t/m 28/11/2024 BN + BW
Axians 12/11/2024 t/m 26/11/2024 BN+BW

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!