Sicherheitsforscher von Lumen Black Lotus Labs haben in einer umfassenden Untersuchung die komplette Infrastruktur des Ngioweb-Botnetzes aufgedeckt, das den illegalen Proxy-Dienst NSOCKS betreibt. Das seit 2017 aktive Botnetz kontrolliert derzeit etwa 28.000 kompromittierte Geräte weltweit und stellt damit eine erhebliche Bedrohung für die globale Cybersicherheit dar.
Technische Infrastruktur und Funktionsweise
Die Analyse zeigt, dass NSOCKS über 180 Backconnect-Nodes zur Verkehrssteuerung einsetzt. Bemerkenswert ist, dass 80% der insgesamt 35.000 Proxy-Server in 180 Ländern durch das Ngioweb-Botnetz bereitgestellt werden. Die Malware nutzt etwa 15 verschiedene Zero-Day-Exploits zur Kompromittierung anfälliger Systeme.
Zielgeräte und Infektionsmethoden
Das Botnetz fokussiert sich hauptsächlich auf SOHO- und IoT-Geräte mit veralteter Firmware, insbesondere Produkte von Zyxel, Reolink und Alpha Technologies. Ein besorgniserregender Trend ist die zunehmende Infektion von Netgear-Routern, die mittlerweile etwa 10% aller kompromittierten Geräte ausmachen.
Sicherheitslücken und technische Entwicklung
Die aktuelle Version der Ngioweb-Malware hat sich seit 2019 nur geringfügig weiterentwickelt. Zu den wichtigsten Änderungen gehören die Implementierung eines Domain Generation Algorithm (DGA) anstelle statischer URLs sowie die Nutzung von DNS TXT Records zur Vermeidung von Command-and-Control-Übernahmen. Dennoch weisen sowohl das Botnetz als auch der NSOCKS-Dienst kritische Sicherheitsmängel auf.
Kritische Schwachstellen im System
Eine besonders schwerwiegende Sicherheitslücke ist das Fehlen jeglicher Authentifizierungsmechanismen für den Zugriff auf NSOCKS-Proxy-Server. Dies ermöglicht unbefugten Nutzern den kostenlosen Zugang bei Kenntnis der IP-Adressen und Ports. Viele dieser Proxies sind bereits in öffentlichen Listen verzeichnet und werden aktiv für die Verbreitung von Malware wie Agent Tesla missbraucht.
Als Reaktion auf diese Erkenntnisse haben Lumen und The ShadowServer Foundation Maßnahmen zur Blockierung des schädlichen Datenverkehrs eingeleitet, wodurch die Aktivitäten des Ngioweb-Botnetzes und des NSOCKS-Dienstes erheblich eingeschränkt wurden. Organisationen wird dringend empfohlen, ihre Netzwerke auf Anzeichen einer Kompromittierung zu überprüfen und entsprechende Sicherheitsmaßnahmen zu implementieren. Die veröffentlichten Indicators of Compromise (IoCs) können dabei als wichtige Orientierungshilfe dienen.
