Eine gemeinsame Operation der Strafverfolgungsbehörden aus den USA und den Niederlanden hat ein leistungsfähiges Proxy-Botnet mit rund 7.000 Geräten zerschlagen, das hauptsächlich aus infizierten Internet-of-Things-Geräten (IoT) und End-of-Life-Systemen (EoL) bestand. Dieses Botnet wurde von einer kriminellen Gruppe aufgebaut, die sich durch den Betrieb eines Proxy-Netzwerks massiv bereichert hat, indem sie Zugang zu den kompromittierten Geräten an zahlende Kunden verkaufte. Der Fall wirft ein Schlaglicht auf die anhaltenden Gefahren durch veraltete Technik und unsichere Netzwerke in Privathaushalten und Unternehmen. Die Beschuldigten, vier Männer aus Russland und Kasachstan, wurden vom US-Justizministerium wegen des Betriebs und der Verwaltung dieses Dienstes sowie der damit erzielten Millionenprofite angeklagt.
Laut Ermittlungen zahlten Kunden monatlich zwischen knapp zehn und über einhundert US-Dollar, um über die infizierten Router anonym im Internet zu agieren. Diese Einnahmen summieren sich auf über 46 Millionen US-Dollar, was die Dimension und den wirtschaftlichen Anreiz solcher kriminellen Aktivitäten verdeutlicht. Das Botnet bestand überwiegend aus gehackten Business- und Heimroutern, die oft auf veralteter Firmware basierten und keine ausreichenden Sicherheitsvorkehrungen boten. Besonders in den USA waren viele der Opfer betroffen, aber auch in Kanada und Ecuador wurden zahlreiche infizierte Geräte identifiziert. Das Netzwerk nutzte dabei eine speziell entwickelte Schadsoftware namens TheMoon, die erstmals 2014 in Angriffen auf Linksys-Router dokumentiert wurde.
Diese Malware ermöglicht das heimliche Eindringen in die Systeme und das Einrichten von Proxy-Diensten, die Cyberkriminellen als Tarnung dienen. Die Infrastruktur des Botnets wurde über mehrere Server gesteuert, die sich unter anderem in der Türkei befanden. Dort liefen komplexe Command-and-Control-Systeme (C2), die mit den infizierten Geräten kommunizierten, ihre Kontrolle aufrechterhielten und Anweisungen zur Ausweitung des Netzwerks verteilten. Eine Besonderheit war ein Server, der auf einem UDP-Port las und vermutlich als Speicher für erbeutete Informationen diente. Die Dienste „anyproxy.
net“ und „5socks.net“, die dieses Proxy-Botnet als Produkt vermarkteten, wurden im Rahmen der „Operation Moonlander“ deaktiviert. Obwohl beide Plattformen unter verschiedenen Namen operierten, gehörten sie zur gleichen kriminellen Infrastruktur und stammen aus dem gemeinsamen Pool kompromittierter Geräte. Aufzeichnungen im Internetarchiv dokumentieren, dass täglich mehr als 7.000 Online-Proxies aus zahlreichen Ländern und US-Bundesstaaten angeboten wurden.
Die Nutzung solcher Proxy-Netzwerke erlaubt es Cyberkriminellen, ihre Aktivitäten zu verschleiern. Dadurch entziehen sie sich der einfachen Erkennung durch Sicherheitssysteme und erschweren Ermittlungen. Besonders bedenklich sind die Häufung krimineller Vorgänge wie Werbebetrug, Distributed-Denial-of-Service-Attacken (DDoS) und Brute-Force-Angriffe, die über diese anonymisierten Zugangspunkte erfolgen. Die fehlende zusätzliche Authentifizierung bei Nutzung der Proxies macht das Angebot anfällig für vielfältigen Missbrauch. Die Ermittlungen haben zudem gezeigt, dass das Botnet neben der Malware auch eine Reihe von ausgenutzten Schwachstellen in älteren Geräten verwendete, wodurch sich die Angreifer in besonders verwundbare Systeme einschleusen konnten.
So konnten viele der kompromittierten Router nicht mehr sicher betrieben und mussten durch aktuelle und sicherere Modelle ersetzt werden. Das Bundesamt für Ermittlungen (FBI) veröffentlichte eine Warnung, die explizit auf die Ausnutzung bekannter Sicherheitslücken in internetexponierten Routern hinweist. Besonders Geräte, deren Hersteller keine Sicherheitsupdates mehr bereitstellen – sogenannte End-of-Life-Geräte – sind gefährdet. Die Attacke basiert darauf, offene Ports zu scannen, bekannte Schwachstellen auszunutzen und die Malware einzuschleusen, ohne dass eine Authentifizierung erforderlich ist. Diese Vorfälle verdeutlichen einmal mehr, wie wichtig es ist, die eigene Netzwerkhardware regelmäßig zu überwachen, aktiv Sicherheitsupdates einzuspielen und veraltete Geräte durch moderne Alternativen zu ersetzen.
Zudem empfehlen Experten, Router regelmäßig neu zu starten und Standardpasswörter zu ändern, um grundsätzliche Angriffsflächen zu minimieren. Die Zerschlagung dieses Proxy-Botnets ist ein bedeutender Erfolg im Kampf gegen das organisierte Verbrechen in der digitalen Welt. Gleichzeitig zeigt das Vorgehen die Herausforderungen auf, denen sich Betreiber und Nutzer von IoT-Geräten gegenübersehen. Die stetig wachsende Zahl vernetzter Geräte schafft ein großes Angriffs- und Missbrauchspotential, das nur durch bessere Sicherheitsstrategien, internationale Zusammenarbeit und öffentliche Sensibilisierung eingedämmt werden kann. Die Cybersecurity-Forschung und Unternehmen wie Lumen Technologies, die diesen Fall begleitet haben, betonen die Wichtigkeit eines gesamtheitlichen Ansatzes.
Die Sicherung von IoT-Geräten, regelmäßige Software-Updates, sowie die Einführung von Mechanismen wie Netzwerkmonitoring und Anomalieerkennung können zukünftige Angriffe erschweren und frühzeitig warnen. Anbietern von Internetdiensten wird empfohlen, verdächtige Aktivitäten konsequent zu blockieren und den Datenverkehr derartiger Botnets zu unterbinden. Langfristig bleibt die Bedrohung bestehen, da viele Netzwerke weiterhin veraltete Hardware verwenden und kriminelle Akteure ihre Werkzeuge und Methoden weiterentwickeln. Daher gewinnen Ausbildungsprogramme, staatliche Regulierungen und Verbesserungen der Sicherheitsstandards zunehmend an Bedeutung. Verbraucher und Unternehmen sind gleichermaßen gefordert, Verantwortung für ihre Netzwerksicherheit zu übernehmen und dadurch das Risiko von Cyberangriffen zu reduzieren.
Zusammenfassend illustriert die Zerschlagung des 7.000-Geräte starken Proxy-Botnets eindrucksvoll, wie gefährlich das Zusammenspiel von unsicheren IoT-Geräten und organisierten Cyberkriminellen sein kann. Gleichzeitig beweist der erfolgreiche internationale Einsatz gegen diese kriminelle Infrastruktur, dass koordiniertes Handeln und technische Expertise entscheidende Werkzeuge im Kampf gegen Cyberbedrohungen sind. In einer zunehmend digitalisierten Welt ist das Bewusstsein für solche Risiken und die Umsetzung von Schutzmaßnahmen essenziell, um die Sicherheit und Integrität von Netzwerken nachhaltig zu gewährleisten.
![DDoS in 2025: 358% Spike and 6.5 Tbps Record [video]](/images/8AE2F96D-E3E4-4B10-A5E3-3490B52D29AD)
