„Operation Lightning“: Schlag gegen Proxy-Botnet aus über 369.000 Geräten

Europol berichtet von einem Schlag gegen den bösartigen Proxy-Dienst „SocksEscort“, den internationale Strafermittler am Mittwoch dieser Woche den kriminellen Drahtziehern und der Infrastruktur versetzt haben. Das Botnet bestand demnach aus mehr als 369.000 Drohnen aus kompromittierten Routern und IoT-Geräten, die in 163 Ländern standen.

Die europäische Polizeibehörde erklärt weiter, dass „SocksEscort“ Kunden in den vergangenen Jahren mehr als 35.000 Proxies angeboten hat. Am Mittwoch haben die Strafverfolger insgesamt 34 Domains vom Netz genommen, außerdem 23 Server aus sieben Ländern. Die USA haben zudem Kryptowährungen im Wert von 3,5 Millionen US-Dollar eingefroren. Die infizierten Modems des Botnets haben die Beamten aus dem „SocksEscort“-Dienst ausgeklinkt. Nun wollen die Strafverfolgungsbehörden die betroffenen Länder informieren und so den Weg für weitere Ermittlungen ebnen.

Untersuchungen starteten Mitte 2025

Im Juni 2025 haben die Ermittlungen begonnen, schreibt Europol. Dort wurde das Botnet aus infizierten Geräten entdeckt. In großer Masse sind das Heimrouter, die für diverse kriminelle Aktivitäten missbraucht wurden, etwa zur Verteilung von Ransomware, für Distributed-Denial-of-Service-Angriffe (DDoS) oder sogar für die Verbreitung von sexuellen Kindesmissbrauchsmaterialien (Child Sexual Abuse Material, CSAM). Die Heimrouter wurden durch eine Schwachstelle einer bestimmten Marke infiziert. Welche genau, sagt Europol jedoch nicht.

Kunden dieses kriminellen Angebots zahlten für die Nutzung und den Missbrauch der unterwanderten Geräte. Sie haben damit ihre eigene IP-Adresse verschleiert, während sie diverse kriminelle Aktivitäten ausgeführt haben. Die Webseite zu „SocksEscort“ bot bezahlte Proxy-Dienste an, mit denen Kunden Zugang zu den kompromittierten IP-Adressen zum Verschleiern ihrer eigenen erlangen. Die Router-Besitzer haben keine Kenntnis, dass nach einer Infektion ihre IP-Adressen für kriminelle Zwecke missbraucht wurden. Zur Zahlung mussten die Täter eine Plattform nutzen, die anonyme Käufe mittels Kryptowährungen ermöglicht. Europol schätzt, dass die Zahlungsplattform mehr als 5 Millionen Euro von den Proxy-Dienst-Kunden erhalten hat.

Internationale Strafverfolger aus Bulgarien, Deutschland, Frankreich, den Niederlanden, Rumänien, Ungarn, Österreich und den Vereinigten Staaten zusammen mit Eurojust und Europol waren an der „Operation Lightning“ beteiligt. Es ist bei weitem nicht die erste Aktion mit internationaler Kooperation der Strafverfolgungsbehörden gegen Botnets und die Hinterleute. Auch in der „Operation Endgame“ aus dem Jahr 2024 oder „Operation Endgame 2.0“ aus 2025 gingen sie gegen die Cyberkriminellen und gegen Malware-Autoren sowie Botnetze vor. Residential-Proxy-Netze sind zunehmend Ziel von Maßnahmen gegen Online-Kriminalität. Google hat etwa Ende Januar dem IPIDEA-Residential-Proxy-Netz einen empfindlichen Schlag versetzt und Millionen Geräte dort herausgezogen.

(dmk)