Cybersicherheit

Ihr Handy oder Router war womöglich eines von 17 Millionen heimlich vermieteten Geräten

Ihr Handy oder Router war womöglich eines von 17 Millionen heimlich vermieteten Geräten
"Europol building, The Hague, the Netherlands - 915" by OSeveno is licensed under CC BY-SA 3.0. To view a copy of this license, visit creativecommons.org
Susan Hill
Von
4 Min. Lesezeit

Ein Botnetz verrät sich nicht immer dadurch, dass es das Handy ausbremst oder den Bildschirm mit Pop-ups flutet. Das Netzwerk, das die niederländische Polizei gerade zerschlagen hat, tat fast nichts, was ein normaler Besitzer bemerkt hätte. Es lieh sich still und leise einen winzigen Teil von mehr als 17 Millionen Geräten, darunter Computer, Smartphones, Tablets, Heimrouter und vernetzte Gadgets, und vermietete deren Verbindungen an Fremde. War eines dieser Geräte Ihres, surfte, scrapte oder attackierte vielleicht monatelang jemand Websites über Ihren Hausanschluss, den Sie nie kennenlernen werden.

Die niederländische Nationalpolizei und das Nationale Cybersicherheitszentrum des Landes beendeten die Operation, nachdem sie rund 200 Server bei einem Hosting-Anbieter innerhalb der Niederlande beschlagnahmt hatten. Die Ermittler beschreiben das Netzwerk als Residential-Proxy-Dienst, ein System, das fremden Datenverkehr über echte Verbrauchergeräte leitet, damit er wie gewöhnliches Surfen aus einem Privathaushalt aussieht. Diese Tarnung ist das eigentliche Produkt. Verkehr, der scheinbar von einer echten Privatadresse kommt, rutscht an den Betrugsfiltern vorbei, die einen bekannten Rechenzentrumsserver sofort sperren würden, und genau deshalb sind Residential-Proxys bei Werbetreibenden, Daten-Scrapern und Kriminellen gleichermaßen begehrt.

Niederländische Berichte verbinden die Infrastruktur mit ASOCKS, einem Unternehmen mit Sitz in Russland, das kommerziell Zugang zu Residential- und Mobil-Proxys verkauft. An der Oberfläche wirkt ASOCKS wie ein normales Abo-Geschäft. Das Problem ist, woher seine privaten Verbindungen stammen. Sicherheitsforscher warnen seit Jahren, dass ein großer Teil der Geräte, die solche Netzwerke speisen, nie wissentlich angemeldet wurde und die Besitzer keine Ahnung hatten, dass ihre Bandbreite zum Verkauf stand.

GlassWorm nistete ein Jahr in VS-Code-Erweiterungen, bevor er abgeschaltet wurde

Die Geräte wurden auf mehreren Wegen rekrutiert, und fast alle laufen auf falsch platziertes Vertrauen in kostenlose Software hinaus. Manche installierten eine Gratis-App, ein Hintergrundbild-Tool, ein Handy-Hilfsprogramm oder ein inoffizielles VPN, das im Hintergrund still eine Proxy-Software mitbrachte. Auf Android meldete eine Code-Bibliothek namens PROXYLIB, versteckt in einem Entwicklungs-Kit, das App-Hersteller in ihre Produkte einbauten, Telefone ungefragt als Proxy-Knoten an. Andere Rechner wurden mit Schadsoftware infiziert, die dieselbe Funktion direkt installierte. In jedem Fall lief das Gerät normal weiter, während seine Verbindung für jemand anderen arbeitete.

War ein Gerät erst im Pool, ließ sich seine Verbindung für fast alles nutzen, was davon profitiert, wie ein harmloser Privatnutzer auszusehen. Die niederländischen Behörden sagen, das Netzwerk habe Phishing-Kampagnen, Spam, Überlastungsangriffe, die Onlinedienste lahmlegen, Brute-Force- und Credential-Stuffing-Anmeldeversuche, Klickbetrug und SMS-Pumping-Maschen gespeist, die über teure Premium-Nummern still Geld abzweigen. Ein einzelner gekaperter Router bringt davon kaum etwas zustande. Siebzehn Millionen davon, gebündelt, werden zu ernsthafter Infrastruktur.

Die Zerschlagung ist echt, aber keine Heilung. Die Polizei sicherte die Server, die das Netzwerk steuerten, doch die ASOCKS-Website war danach weiter erreichbar, und wie viel vom dahinterliegenden Geschäft tatsächlich zerstört wurde, bleibt offen. Die Steuerungsserver vom Netz zu nehmen reinigt die 17 Millionen Geräte nicht automatisch, denn mitgelieferter Proxy-Code und Schadsoftware können unangetastet auf einem Handy oder Router sitzen, bis ein neuer Betreiber sie aufgreift. Zudem ist der Missbrauch von Residential-Proxys ein Markt, kein einzelnes Unternehmen. Schaltet man ein Netzwerk ab, wandert die Nachfrage zum nächsten, denn der legitime Appetit auf echte Adressen, von Werbeprüfern bis zu KI-Firmen, die das Netz durchforsten, hält das Modell profitabel.

Zur Einordnung: 17 Millionen Geräte machen dies zu einem der größten je abgeschalteten Proxy-Netzwerke, weit größer als viele der Malware-Botnetze, die mit der Verbreitung eines einzigen Virus Schlagzeilen machen. Anders als bei einer Ransomware-Infektion gibt es aber selten ein klares Symptom. Die Hinweise sind eher banal: ein Router, der heißläuft oder sich grundlos neu startet, ein Heimtarif, der ständig an sein Datenlimit stößt, ein Telefon, dessen Akku- und Datenverbrauch nicht zur tatsächlichen Nutzung passt, oder Websites, die einen immer wieder Captchas lösen lassen, weil sie die Adresse für verdächtig halten.

Weil die infizierten Geräte über die ganze Welt verstreut waren und nicht in einem einzigen Land konzentriert, ist das Risiko nicht regional. Wer einen alten Router oder ein billiges, mit Gratis-Tools vollgepacktes Android-Handy betreibt, konnte mit hineingezogen werden. Die praktischen Schutzmaßnahmen sind unspektakulär und bekannt: Router und Telefone aktuell halten, kostenlose Apps löschen, die man nicht wirklich nutzt, Software aus inoffiziellen Quellen und inoffizielle VPNs meiden, die etwas für nichts versprechen, und einen Router neu starten, der seit Jahren unangetastet durchläuft.

Der Fall begann, als ein Sicherheitsforscher das Cybersicherheitszentrum auf verdächtige Proxy-Aktivität hinwies, und die niederländischen Behörden haben signalisiert, dass die Auswertung der beschlagnahmten Server weiterläuft, bislang ohne gemeldete Festnahmen. Klar wird dabei: Die Geräte-Ökonomie umfasst inzwischen einen Schwarzmarkt für Ihre Bandbreite. Wenn eine App das nächste Mal nichts kostet, ist das verkaufte Produkt vielleicht der Internetanschluss, für den Sie ohnehin schon zahlen.

Mehr davon

Ein Scan von 380.000 mit KI gebauten Apps findet Tausende ohne jede Authentifizierung

Ein Scan von 380.000 mit KI gebauten Apps findet Tausende ohne jede Authentifizierung

Bloomberg verortet Alibaba in einer 2,5-Milliarden-Dollar-Schmuggelroute für Nvidia-Chips über Thailand

Bloomberg verortet Alibaba in einer 2,5-Milliarden-Dollar-Schmuggelroute für Nvidia-Chips über Thailand

Ein Login-Fehler ließ 70 Millionen cPanel-Webseiten für jedermann offen stehen

Ein Login-Fehler ließ 70 Millionen cPanel-Webseiten für jedermann offen stehen

Eine vergiftete VS-Code-Erweiterung stahl 3.800 interne GitHub-Repositories

Eine vergiftete VS-Code-Erweiterung stahl 3.800 interne GitHub-Repositories

Angeblicher OnlyFans-Leak: 340 Millionen Datensätze, aber kein Hack

Angeblicher OnlyFans-Leak: 340 Millionen Datensätze, aber kein Hack

Wie sich Schadcode über die Lieferkette in vertrauenswürdige Software einschleicht

Wie sich Schadcode über die Lieferkette in vertrauenswürdige Software einschleicht

Diskussion

Es gibt 0 Kommentare.