Groot Internet of Things-botnet door middel van killswitch uitgeschakeld

[Captain Kirk]

Een groot Internet of Things (IoT)-botnet, dat sinds 2019 actief was en zeker 1,5 miljoen apparaten wist te infecteren, is door middel van een killswitsch uitgeschakeld. Dat laat antivirusbedrijf ESET weten. Mozi infecteerde IoT-apparaten, zoals digitale videorecorders, via zwakke Telnet-wachtwoorden en bekende kwetsbaarheden. Besmette machines werden onder andere voor ddos-aanvallen op websites en cryptomining ingezet.

In 2021 waarschuwde Microsoft nog dat op besmette routers, die onderdeel van het botnet waren, man-in-the-middle-aanvallen werden uitgevoerd. Twee weken later meldde securitybedrijf Qihoo 360 dat de auteurs van het Mozi-botnet door de Chinese autoriteiten waren aangehouden. Het grootste deel van de besmette IoT-apparaten bevond zich in China.

Sinds augustus is het botnet plotseling verdwenen, zo ontdekte ESET. Iemand stuurde een update naar de besmette apparaten die als killswitch fungeerde. Deze update schakelde de Mozi-malware uit, alsmede verschillende systeemservices zoals sshd en dropbear. Ook verving de update het originele Mozi-bestand met zichzelf. Tevens werd toegang tot verschillende poorten uitgeschakeld. De killswitch heeft veel overeenkomsten met de originele Mozi-code. Dat doet ESET vermoeden dat de botnetbeheerders hun eigen botnet hebben uitgeschakeld of dit onder dwang van de Chinese autoriteiten hebben gedaan.

 

bron: https://www.security.nl