Niederländische Behörden zerschlagen Botnetz mit mehr als 17 Millionen Geräten

Großes, mit Residential-Proxy-Diensten verbundenes Botnetz in den Niederlanden offline genommen

Behörden in den Niederlanden sagen, sie hätten ein Botnetz mit mehr als 17 Millionen Geräten und 200 Servern zerschlagen und damit eine der auffälligeren Infrastruktur-Ausschaltungen dieses Jahres durchgeführt. An der Aktion waren die niederländische Polizei, das Nationale Cybersicherheitszentrum und ein Hosting-Anbieter beteiligt, der das Netzwerk abschaltete, nachdem Ermittler zu dem Schluss gekommen waren, dass es für kriminelle Zwecke genutzt wurde.

Allein der Umfang macht die Aktion bemerkenswert. Ein Botnetz dieser Größe kann eine starke Basis für Cyberkriminalität bilden, sei es durch anonymisierte Weiterleitung von Datenverkehr, Denial-of-Service-Angriffe, Unterstützung bei Phishing oder massiven Missbrauch von Online-Diensten. In diesem Fall wurde das Netzwerk in Berichten mit Residential-Proxy-Aktivitäten verknüpft, einem Bereich, der die Grenze zwischen scheinbar normalem Verbraucherverkehr und bösartigen Operationen verwischen kann.

Warum Missbrauch von Residential Proxies so schwer zu bekämpfen ist

Residential-Proxy-Dienste leiten Internetverkehr über Geräte Dritter und lassen diesen Verkehr so aussehen, als käme er aus normalen Heim- oder Mobilverbindungen. Das erschwert die Erkennung im Vergleich zu Rechenzentrumsinfrastruktur, weil der Datenverkehr wie normales Nutzerverhalten statt wie eindeutig automatisierte Aktivität aussehen kann.

Behörden und Sicherheitsforscher warnen seit Jahren, dass Residential Proxies sowohl für legitime als auch für missbräuchliche Zwecke eingesetzt werden können. Besonders problematisch sind Fälle, in denen Geräte ohne sinnvolle Zustimmung der Nutzer oder durch Kompromittierung eingebunden werden, wodurch ein Pool von Endpunkten entsteht, der Cyberkriminalität hinter vertrauenswürdig wirkenden IP-Adressen verschleiern kann.

Das scheint Teil der Sorge im niederländischen Fall zu sein. Das Nationale Cybersicherheitszentrum warnte gesondert davor, dass Residential Proxies die Eindämmung deutlich erschweren können, weil Angriffe über lokal wirkende Verkehrsmuster ausgelöst werden können, die sich nur schwer von normaler Nutzung unterscheiden lassen.

Wie die Aktion ablief

Dem bereitgestellten Quelltext zufolge begann die Aktion, nachdem ein Sicherheitsforscher das Netzwerk den Behörden gemeldet hatte. Die Polizei beschlagnahmte dann Botnetz-Server bei einem Hosting-Anbieter zur Untersuchung, und der Anbieter nahm das Botnetz offline. Diese Abfolge zeigt, wie moderne Cyberdurchsetzung zunehmend von der Zusammenarbeit zwischen unabhängigen Forschern, staatlichen Stellen und Infrastrukturunternehmen abhängt.

Die Hosting-Infrastruktur befand sich in den Niederlanden, was den lokalen Behörden einen konkreten operativen Hebel gab. In vielen globalen Botnetz-Fällen mögen Strafverfolger die Bedrohung verstehen, haben aber keine Zuständigkeit über die Befehlsinfrastruktur. Hier war zumindest ein Teil der kritischen Kontrollschicht des Netzwerks ausreichend erreichbar, um direkt gestört zu werden.

Verbindungen zu einem breiteren Proxy-Ökosystem

In den Quellen zitierte Berichte brachten das Botnetz mit ASOCKS in Verbindung, einem in Russland ansässigen Unternehmen, das für Residential-Proxy-Dienste bekannt ist, obwohl Ars Technica anmerkte, dass diese Verbindung nicht unabhängig bestätigt werden konnte. Diese Unterscheidung ist wichtig. Die operative Verbindung mag plausibel und mit früherer Sicherheitsforschung vereinbar sein, wird in der Berichterstattung aber als gemeldete Verbindung dargestellt und nicht als unabhängig verifizierte Tatsache.

Deutlicher ist das größere Muster. 2024 brachte das Sicherheitsunternehmen Human ein Botnetz namens Proxylib mit demselben Proxy-Netzwerk in Verbindung und erklärte, dass mobile Apps bei Google Play bis zu 190.000 Geräte ohne Zustimmung der Nutzer eingebunden hätten. Diese Vorgeschichte deutet auf ein wiederkehrendes Problem hin, bei dem Proxy-Infrastruktur ihre Kapazität aus riesigen Gerätepools zieht, deren Besitzer womöglich nicht vollständig verstehen, wofür ihre Systeme verwendet werden.

Warum das jetzt wichtig ist

Über die reine Zahl hinaus erinnert die Ausschaltung daran, dass Cybercrime-Infrastruktur tief in die alltägliche Konnektivität eingebettet ist. Ein Botnetz mit Millionen von Geräten ist nicht mehr nur eine Sache infizierter Server in obskuren Rechenzentren. Es kann Verbraucherstelefone, Heimanschlüsse und Software-Ökosysteme umfassen, die an der Oberfläche ganz normal aussehen.

Für Verteidiger bedeutet das, dass die Überwachung auch vertrauenswürdig wirkenden Datenverkehr berücksichtigen muss. Für App-Stores und Software-Plattformen unterstreicht es die Notwendigkeit, Anwendungen zu prüfen, die Geräte stillschweigend für Proxy- oder Botnetz-Aktivitäten rekrutieren könnten. Und für politische Entscheidungsträger zeigt es, warum Missbrauch von Residential Proxies zu einem größeren strategischen Cybersicherheitsthema wird und nicht nur ein technisches Nischenthema ist.

• Niederländische Behörden sagen, sie hätten ein Botnetz mit mehr als 17 Millionen Geräten und 200 Servern zerschlagen.
• Das Netzwerk wurde Berichten zufolge mit Residential-Proxy-Aktivitäten in Verbindung gebracht, die Cyberkriminalität hinter normal wirkendem Datenverkehr verbergen können.
• Die Operation beruhte auf der Zusammenarbeit zwischen Forschern, Polizei, dem NCSC und einem Hosting-Anbieter.

Dieser Artikel basiert auf einer Berichterstattung von Ars Technica. Den Originalartikel lesen.