Een bijzonder productief IoT-botnet is de voorbije maanden zo goed als verdwenen in India en China. Onderzoekers bij ESET vermoeden een zogeheten ‘kill switch’, maar wie heeft die aangezet?
Het botnet Mozi bestaat sinds 2019 en zou honderdduizenden IoT-toestellen bevatten. Het was volgens onderzoekers bij SecurityIntelligence al snel verantwoordelijk voor zo’n 90% van het wereldwijde IoT-verkeer. Codegewijs heeft het botnet gelijkaardigheden met bijvoorbeeld het beruchte Mirai, dat in 2016 grote delen van het internet wist plat te leggen.
Maar met Mozi lijkt het dus niet zo ver te komen, dat botnet verdween ineens. In augustus van dit jaar observeerde onder meer ESET een daling in activiteiten van Mozi, eerst in India, en dan in China. Een zogeheten ‘kill switch’ zou de malware hebben uitgeschakeld.
Kill Switch
De plotse daling is te wijten aan een update van Mozi-bots die hen hun functionaliteiten ontneemt. Deze kill switch stopte de malware en verving het originele Mozi-bestand door zichzelf. Daarnaast voerde het ook enkele configuratieopdrachten voor routers en toestellen uit, en sloot het netwerkpoorten.
Wie de trekker heeft overgehaald is echter niet duidelijk. ESET-analyse van de kill switch toonde een sterk verband tussen de originele broncode van het botnet, en de update was ook ondertekend met de privésleutels van de originele payloads.
China of iemand anders
Het bedrijf ziet de optie dat de maker van het originele Mozi-botnet het op pensioen heeft gezet, mogelijk om autoriteiten te ontlopen. Maar de manier waarop het botnet eerst in heel India, en een week later in heel China op non-actief werd gezet, doet ook overheidsinmenging vermoeden. Dan kijkt de onderzoeker vooral naar de Chinese overheid, mogelijk met samenwerking van de originele beheerder.
Hoewel het botnet dus niet meer actief is, waarschuwt ESET wel dat de bots nog persistent blijven. Het gaat hier dus momenteel om een zombie botnet. En als we naar voorgangers als bijvoorbeeld Emotet kijken, zou dat nog wel eens terug uit de doden kunnen opstaan.
Fout opgemerkt of meer nieuws? Meld het hier