Die Polizei der Niederlande hat gemeinsam mit dem Nationalen Zentrum für Cybersicherheit (NCSC) die Zerschlagung eines der größten Botnetze der letzten Jahre bekanntgegeben – das Netzwerk umfasste mindestens 17 Millionen infizierte Geräte, darunter Computer, Tablets, Smartphones und IoT-Geräte. Die Steuerungsinfrastruktur befand sich auf mehr als 200 Servern in den Niederlanden. Besitzer beliebiger mit dem Internet verbundener Geräte sollten den Aktualitätsstand von Firmware und Passwörtern überprüfen – das Ausmaß der Infektion deutet darauf hin, dass kompromittierte Geräte in jedem Land der Welt stehen können.
Details der Operation
Nach der offiziellen Mitteilung des NCSC beschlagnahmten die Strafverfolgungsbehörden einen Teil der Server bei einem Hosting-Provider, der die Infrastruktur für das Botnetz bereitstellte. Im Anschluss schaltete der Provider den verbleibenden Teil des Netzwerks selbstständig ab und bestätigte, dass es für kriminelle Zwecke genutzt worden war.
In der offiziellen Erklärung des NCSC wird das Botnetz nicht namentlich genannt. Nach Angaben des Portals NL Times handelt es sich dabei mutmaßlich um den Dienst Asocks – eine Plattform, die Residential Proxies anbietet. Es ist zu betonen, dass diese Zuordnung auf einer journalistischen Recherche basiert und nicht auf einer offiziellen Bestätigung der niederländischen Behörden.
Residential Proxies als Werkzeug der Cyberkriminalität
Das zerschlagene Botnetz funktionierte nach einem mittlerweile weit verbreiteten Modell: Infizierte Endgeräte von Nutzern wurden in Knoten einer Proxy-Infrastruktur verwandelt, über die Angreifer schädlichen Traffic routeten. Wie Forschende von Sekoia anmerken, haben Residential Proxies für sich genommen legitime Einsatzszenarien – von der Wahrung der Privatsphäre bis hin zum Zugriff auf geografisch beschränkte Ressourcen. Der Schattenbereich dieses Ökosystems basiert jedoch auf dem Verkauf von Zugriff auf kompromittierte Geräte gewöhnlicher Nutzer.
Der vom NCSC beschriebene Infektionsmechanismus ist typisch für derartige Operationen: Angreifer verschaffen sich Zugriff auf ein Gerät, installieren dort Schadsoftware für die Fernsteuerung, woraufhin das Gerät in das Netzwerk eingebunden und für kriminelle Aktivitäten genutzt wird – von DDoS-Angriffen bis zur Verschleierung der Herkunft schädlichen Traffics. Der Eigentümer des Geräts bemerkt die Kompromittierung in der Regel nicht.
Das NCSC hat zudem einen Fachbeitrag über die Auswirkungen von Residential Proxies auf die digitale Sicherheit in den Niederlanden veröffentlicht, was auf einen systematischen Ansatz der Behörden bei diesem Problem hinweist.
Ausmaß und Bewertung der Auswirkungen
Die Zahl von 17 Millionen infizierten Geräten reiht dieses Botnetz in die Gruppe der größten bekannten Netzwerke ein. Zum Vergleich: Das Botnetz Emotet kontrollierte auf seinem Höhepunkt rund 1,6 Millionen Geräte, und 911 S5, das 2024 zerschlagen wurde, etwa 19 Millionen. Die große Bandbreite der betroffenen Gerätetypen – von Smartphones bis hin zu IoT-Hardware – deutet auf den Einsatz mehrerer Infektionsvektoren hin.
Besonders besorgniserregend ist die Einbeziehung von IoT-Geräten in den Perimeter des Botnetzes. Router, Überwachungskameras und andere Netzwerktechnik laufen häufig mit Werkspasswörtern und veralteter Firmware, was sie zu idealen Zielen für Masseninfektionen macht. Gleichzeitig überprüfen Besitzer solcher Geräte diese nur selten auf Anzeichen einer Kompromittierung.
Empfehlungen zum Schutz
Das NCSC hat einen konkreten Maßnahmenkatalog veröffentlicht, um das Risiko zu verringern, dass Geräte in Botnetze eingebunden werden:
- Aktualisierung der Betriebssysteme – halten Sie die Betriebssysteme aller Geräte, einschließlich mobiler Endgeräte, auf dem neuesten Stand
- Kontrolle von Peripheriegeräten – stellen Sie Sichtbarkeit und Monitoring für Router, Access Points und andere Netzwerkausrüstung sicher
- Änderung von Standardpasswörtern – ersetzen Sie Werkseinstellungen für Zugangsdaten auf allen Geräten, insbesondere auf IoT-Hardware
- Starke Passwörter und Zwei-Faktor-Authentifizierung – nutzen Sie komplexe, eindeutige Passwörter und aktivieren Sie 2FA überall dort, wo dies möglich ist
- Installation von Anwendungen aus vertrauenswürdigen Quellen – laden Sie Software ausschließlich aus offiziellen Stores und Repositories herunter
- Absicherung von Wi-Fi – verwenden Sie WPA2- oder WPA3-Verschlüsselung für drahtlose Netzwerke
Die Zerschlagung eines Botnetzes mit 17 Millionen Geräten ist ein bedeutender Erfolg, verdeutlicht aber gleichzeitig das Ausmaß des Problems: Weltweit bleiben Millionen von Geräten anfällig für die Einbindung in ähnliche Netzwerke. Vorrangige Maßnahmen für Organisationen und Privathaushalte sind ein Audit aller netzwerkfähigen Geräte, die Aktualisierung der Firmware von Routern und IoT-Hardware sowie die Sicherstellung, dass kein Gerät mehr mit Werkseinstellungen für Zugangsdaten betrieben wird.
