Die vier Botnetze unterschieden sich in Reichweite und Vorgehen. Nach Darstellung der Staatsanwaltschaft setzte das Aisuru-Botnetz mehr als 200.000 DDoS-Angriffsbefehle ab, KimWolf mehr als 25.000, JackSkid mehr als 90.000 und Mossad mehr als 1.000. Die Botnetze KimWolf und JackSkid waren zudem dafür bekannt, auch Geräte hinter Firewalls anzugreifen.
Auslöser des Vorgehens war auch eine direkte Betroffenheit des Verteidigungsministeriums: IP-Adressen im Department of Defense Information Network (DoDIN) wurden Ziel von DDoS-Angriffen, die über die Botnetze ausgeführt wurden.
Unternehmen wie Cloudflare warnen bereits seit Jahren vor Aisuru und KimWolf. In den vergangenen Monaten schrieb das Unternehmen, die Botnetze hätten über eine Million Geräte zur Verfügung gehabt und seien in der Lage, DDoS-Angriffe zu starten, die „kritische Infrastruktur lahmlegen, die meisten älteren cloudbasierten DDoS-Schutzlösungen zum Absturz bringen und sogar die Konnektivität ganzer Nationen stören" könnten.
Der Cybersicherheitsjournalist Brian Krebs identifizierte zu Beginn dieses Jahres mindestens einen mutmaßlichen Betreiber, der in Kanada lebt. Ob im Zuge der Beschlagnahmung Festnahmen erfolgten, teilte das Justizministerium nicht mit. Neben den Behörden in Kanada und Deutschland waren nach DOJ-Angaben Dutzende Technologieunternehmen an der Operation beteiligt.
Eines davon ist Amazon. In einem Blogbeitrag erklärte Vizepräsident Tom Scholl, das Unternehmen habe dem FBI und dem Verteidigungsministerium geholfen, die Command-and-Control-Infrastruktur der Botnetze zu identifizieren, und die Malware per Reverse Engineering analysiert, um ihre Funktionsweise zu verstehen.
Laut Scholl war KimWolf insofern neuartig, als es Netzwerke von Wohn-Proxys ins Visier nahm und über kompromittierte Geräte – darunter Streaming-TV-Boxen und andere IoT-Geräte – in Heimnetzwerke eindrang. Das Botnetz habe sich Zugang zu lokalen Netzwerken verschafft, die üblicherweise durch Heimrouter vor externen Bedrohungen geschützt sind. „Diese Technik erlaubte es den Betreibern, weltweit Millionen von Geräten zu kompromittieren, und wuchs auf über zwei Millionen infizierte Geräte an. Das JackSkid-Botnetz nutzte später dieselbe Technik, um ebenfalls zu wachsen", so Scholl.
Strafverfolgungsbehörden gehen weiterhin mit Beschlagnahmungen und Festnahmen gegen Botnetze vor, da diese von Cyberkriminellen und staatlichen Akteuren häufig zur Verstärkung von Angriffen und zur Verschleierung genutzt werden. Seit 2021 standen unter anderem QakBot, 911 S5, IPStorm, KV, DanaBot, Anyproxy und 5socks im Fokus der Behörden. Kürzlich zerschlugen die USA gemeinsam mit Europol eine Cybercrime-Plattform, die Zugang zum AVRecon-Botnetz aus Tausenden privaten Routern anbot.
