Die Google Threat Intelligence Group (GTIG) hat gemeinsam mit mehreren Sicherheitsanbietern eine groß angelegte Operation gegen IPIDEA durchgeführt, einen der weltweit größten Anbieter von Residential-Proxies. Infolge der Aktion wurden zentrale Steuerungs-Domains vom Netz genommen, die Weiterleitung über infizierte Geräte erheblich gestört und technische Details der eingesetzten Proxy-SDKs offengelegt. Der Fall zeigt exemplarisch, wie leicht legitime Infrastruktur zu einem Kernbestandteil der globalen Cybercrime-Ökonomie werden kann.
Residential-Proxies: legitime Technik mit hohem Missbrauchspotenzial
Residential-Proxies vermitteln Anfragen über IP-Adressen realer Haushalte und kleiner Unternehmen. Seriöse Anbieter nutzen sie etwa für Werbe- und Marktanalysen, Geotests oder Anti-Bot-Tests. Für Angreifer sind solche Netze jedoch besonders attraktiv, weil der Datenverkehr wie normale Aktivität gewöhnlicher Nutzer aussieht. Im Modell von IPIDEA wussten viele Besitzer ihrer Smartphones, PCs oder Router nicht, dass ihre Geräte als Proxy-Knoten fungierten – ein idealer Tarnmantel für Angriffe auf Konten, das Anlegen Fake-Profile oder Datendiebstahl.
IPIDEA als Marktplatz für kompromittierte Heim- und Unternehmensnetze
IPIDEA präsentierte sich als „führender globaler Anbieter“ und warb mit über 60 Millionen Residential-IP-Adressen, mehr als 6 Millionen täglich aktiven IPs und rund 69.000 neuen Adressen pro Tag. Laut GTIG handelte es sich de facto um einen Marktplatz für den Zugang zu kompromittierten Endgeräten, deren Eigentümer weder informiert wurden noch kontrollieren konnten, wofür ihre Anschlüsse genutzt wurden.
Innerhalb nur einer Woche konnten die Ermittler Aktivitäten von IPIDEA über 550 verschiedenen Hackergruppen zuordnen, darunter Akteure aus China, Iran, Russland und Nordkorea. Über das Netzwerk wurden password-spraying-Angriffe auf Unternehmenskonten gefahren, Botnet-Infrastrukturen verschleiert und unautorisierte Zugriffe auf SaaS-Dienste und Organisationen weltweit ermöglicht. Für Verteidiger verteilten sich diese Angriffe auf scheinbar legitime Privatanschlüsse, was klassische IP-Blocklisten weitgehend aushebelte.
Zweischichtige Infrastruktur und verschachtelte Proxy-Marken
Technisch setzte IPIDEA auf eine zweistufige Architektur. Die erste Ebene koordinierte Konfiguration, Synchronisation und die Verwaltung der Proxy-Knoten. Die zweite Ebene bestand aus rund 7.400 Servern, die Anfragen entgegennahmen, Aufgaben verteilten und den Traffic über kompromittierte Nutzergeräte leiteten. Diese klare Trennung zwischen Steuerung und Weiterleitung erschwerte sowohl die Zuordnung als auch die Zerschlagung der Infrastruktur.
Parallel betrieben die Hintermänner mindestens 19 unterschiedliche Proxy-Marken, die sich nach außen als legitime Services präsentierten. Gemeinsamer Nenner waren Geräte, die mit der Malware BadBox 2.0 infiziert waren. Trotz verschiedener Namen und Außenauftritte liefen alle Ströme in eine zentral kontrollierte Infrastruktur zusammen, deren Betreiber bislang nicht eindeutig identifiziert wurden – ein Muster, das sich bei professionellen Cybercrime-Plattformen immer häufiger findet.
Android- und Windows-Infektionen durch Proxy-SDKs
Missbrauch von Android-Apps
Nach Erkenntnissen von Google entstand ein großer Teil des IPIDEA-Netzes über mindestens 600 Android-Apps, in die Proxy-SDKs wie Packet SDK, Castar SDK, Hex SDK und Earn SDK integriert waren. Viele dieser Anwendungen traten als VPN-Dienste oder Performance-Tools auf und verwandelten Geräte ohne transparente Information an den Nutzer in Proxy-Knoten. Andere Apps warben offen damit, „ungenutzte Bandbreite zu monetarisieren“, oder boten kostenlose VPNs (unter anderem Galleon VPN, Radish VPN und Aman VPN), die zwar funktionierten, aber parallel den Anschluss als Exit-Node für IPIDEA missbrauchten.
Tarnung auf Windows-Systemen
Auf Windows-Seite identifizierten die Ermittler mehr als 3.000 schädliche Dateien, die sich unter Bezeichnungen wie OneDriveSync oder Windows Update tarnten. Durch diese Namensgebung integrierten sie sich nahtlos in typische Systemprozesse, blieben lange unter dem Radar klassischer Endpoint-Schutzlösungen und ermöglichten eine dauerhafte Anbindung kompromittierter Rechner an das Proxy-Netz.
Einsatz in Brute-Force-Kampagnen und DDoS-Botnetzen
Bereits zuvor hatten Analysten von Cisco Talos IPIDEA mit umfangreichen Brute-Force-Angriffen auf VPN- und SSH-Dienste in Verbindung gebracht. Darüber hinaus tauchte die Infrastruktur im Umfeld der DDoS-Botnetze Aisuru und Kimwolf auf. Nach Angaben des Sicherheitsunternehmens Synthient nutzten Betreiber solcher Botnetze Schwachstellen in Residential-Proxy-Services, um Command-and-Control-Befehle unbemerkt auf IoT-Geräte hinter Firewalls umzuleiten und Schadsoftware lateral in lokalen Netzen zu verbreiten. Für Verteidiger ist diese Angriffslogik besonders kritisch, da massive Sperrungen von Residential-IPs erhebliche Kollateralschäden für legitime Nutzer verursachen würden.
Maßnahmen von Google und Konsequenzen für die Abwehrpraxis
Im Rahmen der gemeinsamen Operation blockierten GTIG und Partner zentrale Steuerungs- und Routing-Domains von IPIDEA und störten so den Betrieb des Netzwerks erheblich. Google Play Protect erkennt und blockiert nun auf aktuellen zertifizierten Android-Geräten Apps, die mit den identifizierten Proxy-SDKs verknüpft sind. Google verweist zugleich auf undurchsichtige Eigentümerstrukturen, Reseller-Ketten und zahlreiche Markenauftritte, die eine Regulierung solcher Dienste erschweren. Vertreter der chinesischen Firma IPIDEA räumten gegenüber dem Wall Street Journal „aggressive Expansionsstrategien“ und Werbung auf Hackerforen ein, distanzierten sich aber gleichzeitig von „illegalen Aktivitäten“.
Für Anwender und Unternehmen ergibt sich daraus ein klarer Handlungsauftrag: kostenlose VPNs und Bandbreiten-Monetarisierungs-Apps sollten äußerst kritisch geprüft, Software ausschließlich aus vertrauenswürdigen Quellen bezogen und installierte Anwendungen sowie Netzwerkaktivitäten regelmäßig kontrolliert werden. Organisationen sollten ausgehenden Traffic auf Anomalien überwachen, Threat-Intelligence-Feeds zu Proxy- und Botnet-Infrastrukturen einbinden, Multi-Faktor-Authentifizierung breit ausrollen und Residential-Proxies explizit in ihre Bedrohungsmodelle integrieren. Je besser Transparenz und Kontrolle über eigene Endgeräte und Anwendungen sind, desto schwerer fällt es Angreifern, diese unbemerkt in globale anonyme Proxy- und Botnet-Strukturen einzubetten.
