Die niederländische Polizei hat geholfen, eine massive Botnet-Operation zu zerschlagen, von der angenommen wird, dass sie weltweit etwa 17 Millionen internetverbundene Geräte infiziert hat – eine der größten Cyberkriminalitätsstörungen, die in diesem Jahr von europäischen Strafverfolgungsbehörden koordiniert wurden.
Die Operation richtete sich auf die Infrastruktur, die zur Kontrolle von Netzwerken kompromittierter Geräte verwendet wurde, die angeblich an Cyberkriminelle für verteilte Denial-of-Service-(DDoS)-Angriffe, Proxy-Dienste, Kampagnen zum Diebstahl von Berechtigungsdaten und andere Formen von Online-Missbrauch vermietet wurden. Die Behörden erklärten, dass die infizierten Systeme Router, Webcams, digitale Videorekorder und andere internetverbundene Geräte umfassten, die durch schwache Sicherheitseinstellungen oder veraltete Software anfällig für eine Übernahme waren.
According to investigators bauten die Botnet-Betreiber ein großes Netzwerk von gekaperten Geräten, die ohne Wissen der Besitzer ferngesteuert werden konnten. Nach der Infektion wurden die Systeme Berichten zufolge genutzt, um kriminelle Aktivitäten zu verbergen, bösartigen Datenverkehr zu leiten und Angriffe auf Organisationen weltweit zu starten.
Die niederländische Nationalpolizei arbeitete gemeinsam mit internationalen Partnern im Rahmen der Demontage zusammen, die die Identifizierung von Kommando- und Kontrollinfrastruktur, die Beschlagnahmung von Servern und die Störung der von den Botnet-Betreibern genutzten Kommunikationskanäle umfasste. Beamte erklärten, dass während der koordinierten Aktion mehrere mit der Operation verbundene Systeme offline genommen wurden.
Forscher gehen davon aus, dass Teile des Netzwerks auch als privater Proxy-Service genutzt wurden. In diesen Systemen leiten Cyberkriminelle den Internetverkehr über infizierte Verbrauchergeräte um, sodass böswillige Aktivitäten von legitimen Heim-Internetverbindungen und nicht von krimineller Infrastruktur ausgehen.
Strafverfolgungsbehörden erklärten, dass das Botnetz mit Cybercrime-as-a-Service-Operationen verbunden sei, sodass Kunden für den Zugang zu infizierten Geräten und Angriffsmöglichkeiten bezahlen konnten, ohne eine eigene Malware-Infrastruktur zu entwickeln. Ähnliche Dienste werden häufig in DDoS-Kampagnen, Credential-Stuffing-Angriffen, Betrugsoperationen und Anonymitätsdiensten für andere Cyberkriminelle Gruppen verwendet.
Die Behörden haben die Identitäten aller mit der Operation verbundenen Verdächtigen nicht bekannt gegeben. Die Ermittler bestätigten jedoch, dass bei Durchsuchungen Beweismittel beschlagnahmt wurden, die mit Personen in Verbindung stehen, die vermutlich an der Verwaltung von Teilen der Botnet-Infrastruktur beteiligt waren.
Die Störung folgt auf eine Reihe jüngster internationaler Operationen, die große Botnetze und Proxy-Netzwerke ins Visier nehmen, die schlecht gesicherte Internet-of-Things-Geräte ausnutzen. Sicherheitsbehörden konzentrieren sich zunehmend auf diese Netzwerke, weil sie jahrelang aktiv bleiben können, während sie Consumer-Hardware in großem Maßstab still und leise missbrauchen.
Niederländische Behörden erklärten, dass eine forensische Analyse der beschlagnahmten Systeme noch läuft und zu weiteren Festnahmen führen könnte, während die Ermittler weiterhin die mit der Operation verbundene Infrastruktur und finanzielle Aktivitäten verfolgen.