Die niederländischen Behörden gaben bekannt, dass sie einen der größten Cyberhacking-Vorfälle der Geschichte verhindert haben. Die Hacker zielten auf mehr als 17 Millionen Verbrauchergeräte weltweit, von Computern und Tablets bis hin zu Smartphones und Sicherheitskameras, und nahmen ihre Opfer in einem riesigen Botnet-System ins Visier, indem sie sie in einen privaten Proxy-Dienst einbinden, der für groß angelegte Cyberangriffe genutzt wird. Laut einer Pressemitteilung, in der die Durchsetzungsmaßnahme angekündigt wurde, beschlagnahmten niederländische Ermittler 200 Server in den Niederlanden, die für die Durchführung der Operation verwendet wurden.
Ein Botnet ist eine gefährliche Form eines Cyberangriffs, der infizierte Geräte kapert, um böswillige Aktivitäten auszuführen. Typischerweise infizieren Hacker die Geräte der Opfer mit Malware, die es ihnen ermöglicht, die Geräte aus der Ferne zu steuern, ohne dass der Benutzer es merkt. Da sie eine große Anzahl von Geräten kontrollieren können, sind Botnetze äußerst wirksam gegen DDoS-Angriffe (Distributed Denial of Service), bei denen Hacker einen Server mit einer unkontrollierbaren Menge an Internetverkehr überfordern. Darüber hinaus sind sie wirksame Mittel, um Cyberangriffe anonym durchzuführen, Phishing- und Spam-E-Mails zu verbreiten und Betrug zu begehen. In diesem Fall heißt es in einem Bericht der niederländischen Zeitung NL Times, dass Cyberkriminelle Geräte mit schwachen Sicherheitsvorkehrungen infiziert haben, um als Knoten in einem „Residential Proxy Service“ zu fungieren. Nach der Infektion wurden die Geräte dann verwendet, um den Internetverkehr umzuleiten, um „groß angelegte Cyberangriffe zu starten“, ohne dass die Opfer davon wussten. Nach Angaben der niederländischen Behörden ist das Netzwerk inzwischen offline.
Diese Aktion spiegelt die zunehmende Verbreitung von Botnetzen und privaten Proxy-Netzwerken bei globalen Hacking-Operationen wider. In den letzten Monaten konnten Opfer beobachten, wie alles von Routern bis hin zu Android-basierten Streaming-Geräten zugunsten von Hackern ausspioniert wurde. Es scheint, als wäre es an der Zeit, Ihren Heimrouter sicherer zu machen.
Schlagen Sie das Botnetz
Die verdeckte Operation begann, als ein Sicherheitsforscher des Nationalen Cybersicherheitszentrums, einer Abteilung des niederländischen Ministeriums für Justiz und Sicherheit, mit der Leitung der Cybersicherheitsabteilung des Landes beauftragt wurde. Nach der Meldung arbeiteten die Überwachungsbehörden mit der niederländischen Polizei zusammen, um die Angelegenheit zu untersuchen, und identifizierten und beschlagnahmten schließlich 200 inländische Server, die zur Verwaltung der Infrastruktur des Botnetzes verwendet wurden. Bisher ist wenig über die Taktik des kriminellen Unternehmens bekannt, da die niederländischen Behörden noch keine Stellungnahme dazu abgegeben haben, wie die Hacker 17 Millionen Geräte mit Malware infiziert haben. In der Vergangenheit verbreiteten sich Botnetze über infizierte Anwendungen, Software-Exploits, Phishing-Kampagnen und Brute-Force-Angriffe.
Der Vorgang war mit dem Wohn-Proxy-Dienst Asocks verbunden. Im Jahr 2024 entdeckte das Cybersicherheitsunternehmen HUMAN, dass ein Botnetz namens Proxylib etwa 190.000 Geräte infiziert hatte, und registrierte sie beim Proxy-Dienst von Asocks. Residential Proxys nutzen die IP-Adresse privater Internetnutzer als Transitstation für den Internetverkehr. Forscher verknüpften das Botnetz, das Opfer über das Proxy-Netzwerk von Asocks leitete, mit einem inzwischen verbotenen VPN-Dienst und mindestens 28 Android-Apps. Obwohl auf der Website des Unternehmens eine britische Telefonnummer und eine auf der ostafrikanischen Insel Seychellen registrierte Adresse aufgeführt sind, bringen westliche Medien Asocks seit langem mit Russland in Verbindung, was zu ernsthaften Sicherheitsbedenken führt. Laut seiner Website bietet das Unternehmen Proxy-Dienste für nur 5 US-Dollar pro Monat an.
Im Anschluss an den Bericht kontaktierte Ars Technica erfolglos Asocks mit der Bitte um einen Kommentar. Interessanterweise aktualisierte das NCSC seinen Bericht über Residential Proxys, den die Behörde einen Tag vor der Ankündigung der Abschaltung des Botnetzes veröffentlichte, mit einem Link zur Angriffsankündigung. In seinem aktualisierten Blogbeitrag sagt das NCSC, dass die Durchsetzungsmaßnahmen „zeigen“, wie Wohn-Proxys „eine Bedrohung für die nationale und internationale Cybersicherheit“ darstellen.
Eine wachsende Bedrohung
Diese Demontage verdeutlicht die wachsenden Bedrohungen durch Botnets und private Proxy-Netzwerke. Nach Angaben des NCSC wird diese Technik „immer häufiger bei digitalen Angriffen eingesetzt“, was es Hackern ermöglicht, DDoS-Abschaltungen, Brute-Force-Angriffe, Phishing-Angriffe, Anmeldedatendiebstahl, SMS-Versand und die Verbreitung von Malware zu orchestrieren. Die niederländischen Behörden weisen darauf hin, dass Botnets und private Proxys besondere Herausforderungen darstellen, da sie durch die Übernahme vertrauenswürdiger IP-Adressen schwerer zu erkennen sind. Das soll nicht heißen, dass private Proxys von Natur aus bösartig sind, da sie wertvolle Werkzeuge zur Umgehung der geografischen Internetzensur sein können. Bemerkenswert ist jedoch ihre zunehmende Verbreitung bei cyberkriminellen Operationen.
Die Aktion der niederländischen Polizei ist nur eines von mehreren hochkarätigen Botnetzen, die in den letzten Monaten von den Strafverfolgungsbehörden ausgeschaltet wurden. Im März koordinierten beispielsweise deutsche, kanadische und US-amerikanische Behörden die Ausschaltung zweier der weltweit größten Botnet-Operationen namens „Aisuru“ und „Kimwolf“, die laut deutschen Behörden DDoS-Angriffe in großem Umfang ausführten. Nach Angaben der US-Staatsanwaltschaft haben Botnetze mehr als drei Millionen Geräte gekapert. Anfang des Jahres hat Google das IPIDEA-Proxy-Netzwerk lahmgelegt, dessen SDKs vom Kimwolf-Botnetz verwendet wurden. Zwei Monate später beschlagnahmte die Abteilung für Steuerkriminalität (FIOD) des niederländischen Finanzministeriums mehr als 800 Server, die mit einem sanktionierten illegalen Hosting-Dienst verbunden waren, der für Botnet- und Malware-Betrügereien genutzt wurde.
Solche Maßnahmen erinnern uns daran, dass wir uns vor Cyber-Bedrohungen schützen müssen. Benutzer sollten mindestens strengere Passwörter erstellen, die Software nach Möglichkeit aktualisieren, den Netzwerkverkehr überwachen und sicherstellen, dass ihre WLAN-Sicherheitseinstellungen WPA2- oder WPA3-Schutz umfassen. Vermeiden Sie das Herunterladen von Apps aus inoffiziellen Quellen, vermeiden Sie nach Möglichkeit die Nutzung privater Proxy-Dienste und prüfen Sie die Anwendungsanforderungen, um zu vermeiden, dass Sie ohne Ihre Zustimmung in Proxy-Diensten aufgeführt werden. Herkömmliche Schutzmaßnahmen wie Antivirensoftware sind ebenfalls von Vorteil.