De Nederlandse politie heeft geholpen bij het ontmantelen van een enorme botnetoperatie waarvan wordt aangenomen dat deze ongeveer 17 miljoen internetverbonden apparaten wereldwijd heeft geïnfecteerd, wat een van de grootste cybercrime-verstoringen is die dit jaar door de Europese wetshandhaving is gecoördineerd.
De operatie richtte zich op infrastructuur die werd gebruikt om netwerken van gecompromitteerde apparaten te beheren die naar verluidt werden verhuurd aan cybercriminelen voor distributed denial-of-service (DDoS)-aanvallen, proxydiensten, campagnes voor het stelen van gegevens en andere vormen van online misbruik. De autoriteiten zeiden dat de geïnfecteerde systemen routers, webcams, digitale videorecorders en andere internetverbonden apparaten omvatten die kwetsbaar zijn voor overname door zwakke beveiligingsinstellingen of verouderde software.
According to investigators bouwden de botnetoperators een groot netwerk van gekaapte apparaten die op afstand konden worden bestuurd zonder medeweten van hun eigenaren. Zodra de systemen geïnfecteerd waren, werden ze naar verluidt gebruikt om criminele activiteiten te verbergen, kwaadaardig verkeer te leiden en aanvallen te lanceren op organisaties over de hele wereld.
De Nederlandse Nationale Politie werkte samen met internationale partners als onderdeel van de ontmantelingsactie, waarbij commando-en-control-infrastructuur werden geïdentificeerd, servers in beslag werden genomen en communicatiekanalen die door de botnet-operators werden gebruikt werden verstoord. Functionarissen zeiden dat meerdere systemen die met de operatie verbonden waren, tijdens de gecoördineerde actie offline zijn gehaald.
Onderzoekers denken dat delen van het netwerk ook werden gebruikt als een proxy-dienst voor residentielen. In deze schema’s leiden cybercriminelen internetverkeer via geïnfecteerde consumentenapparaten, waardoor kwaadaardige activiteiten lijken te komen uit legitieme thuisinternetverbindingen in plaats van criminele infrastructuur.
Wetshandhavingsinstanties zeiden dat het botnet gekoppeld was aan cybercrime-as-a-service-operaties, waardoor klanten konden betalen voor toegang tot geïnfecteerde apparaten en aanvalmogelijkheden zonder hun eigen malware-infrastructuur te ontwikkelen. Vergelijkbare diensten worden vaak gebruikt in DDoS-campagnes, credential stuffing-aanvallen, fraudeoperaties en anonimiteitsdiensten voor andere cybercriminele groepen.
De autoriteiten hebben de identiteit van alle verdachten die met de operatie te maken hebben niet bekendgemaakt. Onderzoekers bevestigden echter dat tijdens zoekacties bewijs in beslag werd genomen dat verband hield met personen die vermoedelijk betrokken waren bij het beheer van delen van de botnet-infrastructuur.
De verstoring volgt op een reeks recente internationale operaties gericht op grote botnets en proxynetwerken die misbruik maken van slecht beveiligde internet-van-dingen-apparaten. Beveiligingsdiensten richten zich steeds meer op deze netwerken omdat ze jarenlang actief kunnen blijven terwijl ze op grote schaal consumentenhardware in stilte misbruiken.
Nederlandse autoriteiten zeiden dat forensische analyse van in beslag genomen systemen nog loopt en kan leiden tot extra arrestaties, terwijl onderzoekers de infrastructuur en financiële activiteiten die met de operatie verband houden blijven traceren.