Maßnahmen des niederländischen National Cyber Security Center und 17 Millionen Geräte: Worauf sich Unternehmen vorbereiten sollten

Die niederländische Politie und das National Cyber Security Center (NCSC) haben vor Kurzem einen koordinierten Schlag gegen eine massive Botnetz-Infrastruktur ausgeführt. Diese Operation umfasste die Beschlagnahmung von mehr als 200 Servern mit Standort in den Niederlanden. Diese Server fungierten als Backend für ein Netzwerk, das weltweit 17 Millionen Geräte versklavte. Das Ausmaß dieser Zerschlagung ist eine Warnung an jeden CISO, der sich bei der Perimeter-Abwehr auf die traditionelle IP-Reputation verlässt.

Ich habe in den letzten zwei Jahrzehnten viele Botnetze gesehen, aber die Art dieses spezifischen Netzwerks ist anders. Es ist Teil eines wachsenden Trends, bei dem legitime Dienste und bösartige Absichten im selben architektonischen Raum existieren. Berichte bringen diese Infrastruktur mit Asocks in Verbindung, einem Anbieter von Residential Proxies. Die Verbindung zwischen Asocks und der vom HUMAN Satori-Team identifizierten PROXYLIB-Kampagne verdeutlicht eine klare Verschiebung des Bedrohungsmodells. Angreifer müssen keine eigenen maßgeschneiderten Bereitstellungssysteme mehr aufbauen, wenn sie einfach über ein kommerzielles Abonnement Zugriff auf Millionen sauberer Residential-IPs kaufen können.

Die Mechanik des Residential-Proxy-Botnetzes

Um das Risiko zu verstehen, muss man begreifen, wie diese 17 Millionen Geräte dem Netzwerk beigetreten sind. In der PROXYLIB-Kampagne gelangte Malware oft über Proxyware-SDKs wie LumiApps auf Android-Geräte. Diese SDKs sind häufig in scheinbar harmlosen Anwendungen eingebettet. Sobald ein Benutzer die App installiert, wird das Gerät zu einem Knoten im Asocks-Netzwerk. Die Bandbreite des Benutzers wird an Dritte verkauft. Während der Benutzer dies vielleicht als eine Möglichkeit sieht, ein paar Cent zu verdienen oder auf eine kostenlose App zuzugreifen, ist die Realität, dass sein Gerät nun bösartigen Datenverkehr ermöglicht.

Die Asocks-Plattform bewarb den Zugang zu diesen Geräten für nur 5 US-Dollar pro Monat. Diese niedrige Eintrittsbarriere verändert die Ökonomie eines Angriffs. In meiner Erfahrung bei der Prüfung von Unternehmensnetzwerken sehe ich ein erhebliches Volumen an Credential-Stuffing- und Scraping-Versuchen. Wenn diese Versuche von einem Rechenzentrum ausgehen, sind sie leicht zu blockieren. Wenn sie jedoch von 17 Millionen eindeutigen Residential-Geräten stammen, werden Ihre herkömmlichen WAF-Regeln zu einer Belastung. Ein Residential-Gerät hat standardmäßig eine hohe Reputation, da es wie ein legitimer Kunde aussieht.

Die Annahme des Vertrauens in Residential-IPs infrage stellen

Die gefährlichste Annahme in der heutigen Cybersicherheit ist, dass Datenverkehr von Residential-ISPs von Natur aus sicherer ist als Datenverkehr von Rechenzentren oder VPNs. Jahrelang haben Sicherheitsanbieter die Idee verkauft, dass „Residential“ gleichbedeutend mit „Mensch“ ist. Diese Zerschlagung beweist, dass 17 Millionen Residential-Geräte Teil einer kriminellen Infrastruktur waren. Ich argumentiere, dass wir unser Vertrauensmodell umkehren müssen. Eine Residential-IP-Adresse ist nun ein Hochrisikosignal, wenn sie sich automatisiert verhält.

Die meisten veralteten Sicherheitsarchitekturen verwenden IP-basiertes Rate-Limiting. Wenn eine IP zu viele Anfragen sendet, blockiert das System sie. Mit einem Pool von 17 Millionen Geräten kann ein Angreifer jedoch die IPs für jede einzelne Anfrage rotieren. Keine einzelne IP erreicht jemals den Schwellenwert für das Rate-Limit. Der Angriff bleibt für grundlegende Überwachungstools unsichtbar. Diese Asymmetrie beim Zugriff ermöglicht es Angreifern, unentdeckt zu bleiben, während sie groß angelegte Operationen durchführen. Wenn Ihre Verteidigungsstrategie darauf basiert, „böse“ IPs zu identifizieren, kämpfen Sie einen Kampf, den Sie bereits verloren haben.

Architektonische Auswirkungen für das Unternehmen

Die Entfernung von 200 Servern in den Niederlanden verschafft vorübergehende Erleichterung, aber die zugrunde liegende Schwachstelle bleibt bestehen. Die Geräte befinden sich immer noch im Umlauf. Die Malware ist weiterhin auf Millionen von Tablets, Smartphones und IoT-Geräten vorhanden. Für Ihre Architektur bedeutet dies, dass der Perimeter kein Filter mehr ist – er ist ein Sieb.

Wir müssen uns in Richtung eines Modells der Verhaltensprüfung bewegen. Anstatt zu fragen „Woher kommt diese Anfrage?“, muss das System fragen „Was tut diese Anfrage?“. Dies erfordert eine eingehende Prüfung des Verhaltens auf der Anwendungsschicht. Wenn eine Residential-IP in einer Frequenz oder Abfolge auf eine API zugreift, die nicht dem typischen menschlichen Verhalten entspricht, muss das System eine Herausforderung auslösen, wie etwa einen Proof-of-Work oder ein hochentwickeltes CAPTCHA.

Mikrosegmentierung ist der einzige gangbare Weg für die interne Verteidigung. Wenn ein Gerät in Ihrem Netzwerk Teil eines Botnetzes wie PROXYLIB wird, ist sein primäres Ziel oft die laterale Bewegung oder der Datenabfluss. In vielen Unternehmensumgebungen hat ein infiziertes Smartphone im Gäste-WLAN einen direkten Pfad zum internen Server-VLAN. Ich habe Penetrationstests durchgeführt, bei denen ein einzelner kompromittierter IoT-Drucker den notwendigen Zugang verschaffte, um einen Domain-Controller zu kopieren. Sie müssen jedes Gerät in Ihrem Netzwerk als potenziellen Knoten in einem 17 Millionen starken Botnetz betrachten.

Das verborgene Risiko von IoT- und ungepatchten Edge-Geräten

Das NCSC stellte fest, dass Botnetze oft über ungepatchte Edge-Geräte und schwache Passwörter Zugriff erhalten. Dies ist die grundlegende Hygiene, die viele Organisationen immer noch ignorieren. Router und IoT-Geräte sind die schwächsten Glieder, da ihnen oft die Telemetrie fehlt, die auf verwalteten Workstations zu finden ist. Ein Laptop hat einen EDR-Agenten; ein intelligenter Thermostat nicht.

In meiner Zeit als CISO habe ich festgestellt, dass der schwierigste Teil der Sicherheit nicht der komplexe Zero-Day-Exploit ist. Es sind die Tausenden von kleinen, nicht verwalteten Geräten, die sich langsam im Netzwerk ansammeln. Jedes einzelne ist ein potenzieller Proxy-Knoten. Als die niederländischen Behörden das Asocks-Backend zerschlugen, haben sie die anfälligen Geräte nicht repariert. Sie haben lediglich den Command-and-Control-Mechanismus (C2) entfernt. Neue Bedrohungsakteure werden unweigerlich nach denselben Schwachstellen suchen, um das nächste Netzwerk aufzubauen.

Aktionsplan für die nächsten 12 Monate

Das Überleben in diesem Umfeld hängt davon ab, schneller zu agieren, als die Angreifer ihre Infrastruktur rotieren können. Ich empfehle CISOs und CTOs für das nächste Jahr die folgenden Schritte, um das systemische Risiko durch massive Proxy-Botnetze anzugehen.

• Überprüfung der IP-Reputationsregeln für externe Dienste: Überprüfen Sie Ihre WAF- und Bot-Mitigation-Einstellungen. Wenn Sie Residential-IP-Bereiche auf eine Whitelist gesetzt haben oder diese mit geringerer Genauigkeit behandeln, entfernen Sie diese Regeln sofort. Implementieren Sie einen „Verify Always“-Ansatz, unabhängig von der Reputation der Quell-IP.
• Implementierung von Fingerprinting auf Anwendungsebene: Setzen Sie Tools ein, die automatisierte Browser und Bots basierend auf ihren Ausführungsmustern anstatt auf ihren IP-Adressen identifizieren können. Achten Sie auf Inkonsistenzen bei TLS-Handshakes und HTTP-Headern.
• Erzwingung einer strikten Mikrosegmentierung: Isolieren Sie IoT- und Gäste-Geräte von Produktionsumgebungen. Nutzen Sie eine Zero-Trust-Architektur, bei der jede interne Verbindung eine explizite Authentifizierung und Autorisierung erfordert. Ein kompromittiertes Smartphone darf nicht in der Lage sein, das interne Netzwerk zu scannen.
• Suche nach Proxyware auf Unternehmensressourcen: Verwenden Sie EDR- und MDM-Tools, um nach bekannten Proxyware-SDKs und Apps zu suchen, die „passives Einkommen“ für das Teilen von Bandbreite anbieten. Erstellen Sie eine Richtlinie, die diese Anwendungen auf jedem Gerät, das auf Unternehmensdaten zugreift, explizit verbietet.
• Rotation von Edge-Zugangsdaten und Aktualisierung der Firmware: Führen Sie ein umfassendes Audit aller Edge-Geräte durch, einschließlich Home-Office-Router, die von Remote-Mitarbeitern verwendet werden. Stellen Sie sicher, dass sie die neueste Firmware verwenden und dass Standardpasswörter in komplexe, eindeutige Zeichenfolgen geändert werden.
• Überwachung des ausgehenden Datenverkehrs auf Proxy-Muster: Achten Sie auf ungewöhnliche ausgehende Verbindungen zu bekannten Proxy-Anbieter-Domains oder Backend-Infrastrukturen. Große Mengen an ausgehendem Datenverkehr von einem stromsparenden IoT-Gerät sind ein klares Anzeichen für eine Kompromittierung.

Eine neue Realität der Infrastruktur-Resilienz

Die niederländischen Behörden haben der Weltgemeinschaft mit der Zerschlagung dieses spezifischen Botnetzes einen Dienst erwiesen. Wir müssen dies jedoch als eine einzelne Schlacht in einem langen Zermürbungskrieg betrachten. Die 17 Millionen beteiligten Geräte stellen eine massive Angriffsfläche dar, die für die nächste Kampagne anfällig bleibt.

Architektur ist die einzige dauerhafte Lösung. Sie können nicht jedes Gerät auf der Welt patchen und Sie können nicht jede Malware-Infektion stoppen. Sie können jedoch Ihre Systeme so entwerfen, dass eine Kompromittierung nicht zu einer Katastrophe führt. Indem Sie sich auf Verhalten statt auf Reputation und auf Segmentierung statt auf Perimeter konzentrieren, bauen Sie ein Netzwerk auf, das auch dann belastbar bleibt, wenn die Welt voll von Botnetzen mit 17 Millionen Knoten ist.

Quellen:

• Dutch National Cyber Security Center (NCSC)
• Politie (Dutch National Police)
• HUMAN Satori Threat Intelligence Team
• NL Times

Haftungsausschluss: Dieser Artikel dient ausschließlich Informations- und Bildungszwecken und ersetzt keine professionelle Cybersicherheitsprüfung oder einen Incident-Response-Service.