Residential-Proxy-Dienste klingen nüchtern-technisch und sind teils legitim — Unternehmen nutzen sie für Lokalisierungstests oder Web-Scraping. Das Modell kippt, wenn die „residentiellen“ IP-Adressen nicht freiwillig bereitgestellt werden, sondern zu infizierten Heimgeräten gehören, deren Besitzer nichts davon wissen. Genau das steckte hinter Asocks: Die niederländische Polizei und das Nationale Cybersicherheitszentrum NCSC haben diese Woche das Backend des Dienstes abgeschaltet. Residential Proxies als kriminelles Geschäftsmodell sind gut etabliert — was diese Aktion auszeichnet, ist der Maßstab.
17 Millionen Endpunkte, 5 Dollar pro Monat
Asocks verkaufte Abonnements zwischen fünf und fünfzehn Dollar monatlich — für Zugang zu „residentiellen“ IP-Adressen, tatsächlich aber für den Traffic durch infizierte Heimrechner, Smartphones und IoT-Geräte. Für Kriminelle ist das attraktiv: Heimnetz-IPs fallen in automatischen Erkennungssystemen weit seltener auf als Rechenzentrums-Adressen. Wer Datenbankabfragen durch eine holländische Wohnzimmer-IP schickt, ist in vielen Systemen unsichtbar.
17 Millionen kompromittierte Endpunkte hatte das Netz nach Angaben der Ermittler im Zugriff, gestützt auf mehr als 200 Backend-Server in den Niederlanden. Für Abonnenten gab es drei Angebotsklassen: Corporate, Residential, Mobile — alles auf Monatsbasis, alles mit gestohlener Bandbreite anderer Leute finanziert.
PROXYLIB und der Android-App-Weg
Wie kamen so viele Geräte ins Netz? Ein dokumentierter Angriffsvektor ist die PROXYLIB-Kampagne, die Sicherheitsforscher im April 2024 identifizierten. Dabei verteilten Angreifer über Drittanbieter-App-Stores Android-Anwendungen, die das Proxyware des Anbieters LumiApps eingebettet hatten — laut The Hacker News war Asocks direkt mit dieser Kampagne verbunden. LumiApps bezeichnet sich selbst als Monetarisierungs-Plattform für App-Entwickler, die Nutzern gegen kostenlose Features die Bandbreite abzapft. Die Nutzer installierten eine App und stellten ohne Kenntnis ihre Internetverbindung für Dritte bereit.
Für Heimrouter und IoT-Geräte läuft es über das bekannte Muster: Werkspasswort nie geändert, Firmware seit Jahren nicht aktualisiert, Verwaltungsports offen. Bei Kunden, die ich regelmäßig betreue, ist das keine Theorie — mindestens ein Netzwerkgerät mit Default-Zugangsdaten findet sich in fast jedem KMU-Netz, das länger nicht durchgecheckt wurde.
Takedown ohne Verhaftungen
Die niederländische Polizei beschlagnahmte die Backend-Server bei einem lokalen Hosting-Provider; der Provider schaltete das Netzwerk daraufhin ab. Verhaftungen oder Anklagen wurden bislang nicht bekannt gegeben. Das ist bei internationalen Botnet-Aktionen kein Ausnahmefall — die Infrastruktur fällt, die Betreiber tauchen anderswo wieder auf.
Ob das eigene Gerät Teil des Asocks-Netzes war, lässt sich im Nachhinein kaum noch feststellen. Das NCSC empfiehlt: Betriebssystem und Firmware aktuell halten, Standardpasswörter auf Routern und IoT-Geräten ersetzen, WLAN mindestens mit WPA2 absichern, Apps ausschließlich aus vertrauenswürdigen Stores installieren. Die Liste ist kurz und nicht neu. Dass ein Netz mit 17 Millionen Endpunkten überhaupt entstehen konnte, zeigt, wie viele diese Liste ignorieren.
