In einer wegweisenden internationalen Operation ist es Strafverfolgungsbehörden gelungen, eines der langlebigsten und umfangreichsten Botnetze der Cyberkriminalität zu zerschlagen. Das als „Moonlander“ bekannte Netzwerk hatte über zwei Jahrzehnte hinweg Router weltweit kompromittiert und diese für illegale Proxy-Dienste missbraucht. Die kriminelle Infrastruktur wurde über die Plattformen Anyproxy und 5socks zur Vermietung angeboten.
Internationale Ermittlungen führen zu Durchbruch
Das US-Justizministerium hat Anklage gegen vier Hauptverdächtige erhoben – drei russische Staatsangehörige (Alexei Chertkov, Kirill Morozov, Alexander Shishkin) und einen kasachischen Staatsbürger (Dmitry Rubtsov). Die erfolgreiche Operation basierte auf einer engen Zusammenarbeit zwischen US-Behörden, niederländischen und thailändischen Ermittlern sowie Sicherheitsexperten von Black Lotus Labs der Lumen Technologies.
Technische Analyse der Malware-Infrastruktur
Die Cyberkriminellen nutzten eine modifizierte Version der TheMoon-Malware, die seit 2004 systematisch veraltete WLAN-Router infizierte. Die kompromittierten Geräte wurden in ein Netzwerk von Proxy-Servern umgewandelt, deren Zugänge über die Websites Anyproxy[.]net und 5socks[.]net zu Preisen zwischen 9,95 und 110 Dollar monatlich vermarktet wurden.
Beispiellose Dimension der kriminellen Aktivitäten
Nach Ermittlerangaben wurden über 7.000 infizierte Router als Residential-Proxies auf verschiedenen Underground-Foren angeboten. Die kriminelle Operation generierte Einnahmen von mehr als 46 Millionen US-Dollar, wobei Kryptowährungen als bevorzugtes Zahlungsmittel dienten und der Zugang ohne strenge Authentifizierung gewährt wurde.
Betroffene Hardware und Sicherheitslücken
Primär wurden Router von Linksys und Cisco ins Visier genommen. Besonders besorgniserregend war die Fähigkeit der Malware, gängige Sicherheitssysteme zu umgehen – selbst etablierte Antivirenlösungen erkannten nur etwa 10% der schädlichen Aktivitäten, wie Tests mit VirusTotal zeigten.
Die Zerschlagung des Moonlander-Botnets markiert einen bedeutenden Erfolg im Kampf gegen Cyberkriminalität, verdeutlicht jedoch auch die dringende Notwendigkeit proaktiver Sicherheitsmaßnahmen. Netzwerkadministratoren und private Nutzer sollten umgehend ihre Router-Firmware aktualisieren, starke Authentifizierung implementieren und verdächtige Netzwerkaktivitäten kontinuierlich überwachen. Nur durch konsequente Sicherheitsvorkehrungen lassen sich ähnliche Kompromittierungen in Zukunft effektiv verhindern.
