Das Ende von Mozi – und was es für Ihre IoT-Sicherheit bedeutet

Das Mozi-Botnet galt jahrelang als eines der gefährlichsten Netzwerke zur Ausnutzung unsicherer IoT-Geräte. Innerhalb kürzester Zeit infizierte es weltweit über 1,5 Millionen Endgeräte – darunter DSL-Router, Smart-Home-Technik und industrielle Steuerungseinheiten. Besonders alarmierend: Auch in Deutschland verzeichneten Sicherheitsforscher zahlreiche Infektionen. Im September 2023 wurde das Botnet überraschend abgeschaltet. Die Hintergründe sind noch nicht vollständig geklärt – doch für Unternehmen ergeben sich daraus wichtige Lehren.

Warum Mozi so gefährlich war

Mozi basiert auf dem Code des bekannten Mirai-Botnets, setzte aber neue Maßstäbe bei der Verbreitung und Steuerung infizierter Geräte. Zwischen Ende 2019 und Mitte 2020 war es laut IBM X-Force für rund 90 % des schädlichen IoT-Traffics verantwortlich. Die Malware nutzte Schwachstellen in Geräten mit schwachen Zugangsdaten oder veralteter Firmware, um ein globales Peer-to-Peer-Netzwerk aufzubauen. Darüber konnten die Angreifer:

• massive DDoS-Attacken starten
• sensible Daten exfiltrieren
• beliebige Befehle auf den Geräten ausführen

Fallbeispiel: Angriff über vernetzte Produktionsmaschinen

Ein mittelständischer Automobilzulieferer wurde Opfer eines Mozi-Angriffs, nachdem seine Maschinensteuerung über unsichere Standardpasswörter erreichbar war. Die Folge: Produktionsausfälle, da Mozi die Steuerungseinheiten blockierte. Erst ein umfassender Netzwerk-Scan offenbarte die Einfallstore.

Wie das Botnet abgeschaltet wurde

Im August 2023 stellten IT-Sicherheitsdienste einen drastischen Rückgang von Mozi-Aktivitäten fest – zunächst in Indien, dann in China. Kurz darauf entdeckten Forscher von ESET eine gezielt platzierte Konfigurationsdatei, die einem sogenannten Kill-Switch entspricht. Diese Datei deaktivierte:

• wichtige Systemdienste
• die Verbindung zu Steuerungsservern
• den Zugriff auf Kommunikationsports

Die Datei wurde mehrfach übertragen, wodurch infizierte Geräte vom Botnetz getrennt wurden – ein deutliches Zeichen für eine geplante Abschaltung. Ob hinter dieser Maßnahme chinesische Behörden oder die ursprünglichen Täter selbst stehen, ist unklar. Die gezielte Deaktivierung deutet jedoch auf tiefes internes Wissen über die Infrastruktur hin.

Was Unternehmen jetzt tun sollten

Auch wenn Mozi abgeschaltet wurde, ist die Bedrohung durch ähnliche Botnetze weiterhin real. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in seinem aktuellen Bericht 2023 vor steigenden Angriffen auf IoT-Umgebungen. Gerade in Unternehmen, wo industrielle Steuerungstechnik, Router oder Sensoren im Einsatz sind, sind Angriffsflächen oft groß – und die Schutzmaßnahmen zu schwach.

Typische Schwachstellen in Unternehmen:

• nicht gepatchte Firmware von IoT-Geräten
• Standardpasswörter bei Routern oder Kameras
• unzureichende Netzwerksegmentierung
• keine kontinuierliche Überwachung des Datenverkehrs

Checkliste: So schützen Sie Ihre IoT-Infrastruktur

• Inventarisierung: Verschaffen Sie sich einen Überblick über alle vernetzten Geräte in Ihrem Unternehmen.
• Schwachstellenanalyse: Führen Sie regelmäßige Penetrationstests oder Netzwerkscans durch – speziell auf IoT-Komponenten.
• Netzwerk segmentieren: Trennen Sie IoT-Geräte vom produktiven Netz, um eine Ausbreitung von Schadsoftware zu verhindern.
• Zugänge sichern: Ersetzen Sie Standardpasswörter, aktivieren Sie Zwei-Faktor-Authentifizierung, wo möglich.
• Monitoring einführen: Überwachen Sie den Datenverkehr und reagieren Sie auf Anomalien in Echtzeit.
• Notfallpläne entwickeln: Definieren Sie Abläufe für den Fall eines IoT-Angriffs – inklusive Isolierung und Wiederherstellung.

Allgeier CyRis unterstützt Sie – mit dem Active Cyber Defense Service

Für Unternehmen, die ihre IT- und IoT-Infrastruktur effektiv absichern wollen, bietet Allgeier CyRis den Active Cyber Defense Service. Unser Service erkennt und analysiert Angriffe auf Ihre Systeme in Echtzeit – bevor sie Schaden anrichten.

Durch den Einsatz modernster Technologien und ein erfahrenes Cyber-Security-Team können wir:

• Bedrohungen automatisiert erkennen
• sofortige Gegenmaßnahmen einleiten
• kontinuierlich Schwachstellen identifizieren

Der Active Cyber Defense Service eignet sich besonders für Unternehmen mit vernetzten Produktionsanlagen oder komplexer IT-Infrastruktur – genau dort, wo Botnetze wie Mozi ansetzen.

Fazit: Das Ende von Mozi ist kein Grund zur Entwarnung

Das kontrollierte Abschalten des Mozi-Botnetzes zeigt, dass auch hochentwickelte Malware enden kann – doch es zeigt ebenso, wie ungeschützt viele IoT-Geräte nach wie vor sind. Unternehmen sollten den Vorfall als Weckruf verstehen: Der Schutz von IoT-Umgebungen gehört ganz oben auf die Sicherheitsagenda.

Vereinbaren Sie jetzt eine kostenlose Erstberatung mit unseren Cyber-Security-Expert:innen. Gemeinsam analysieren wir Ihre aktuelle Lage – und zeigen konkrete Maßnahmen zur Risikominimierung auf. Jetzt Kontakt aufnehmen!