Telefonen eller ruteren din kan ha vært en av 17 millioner enheter som ble leid ut i hemmelighet

Et botnett røper seg ikke alltid ved å gjøre telefonen treg eller fylle skjermen med sprettoppvinduer. Nettverket nederlandsk politi nettopp har slått ut gjorde nesten ingenting en vanlig eier ville lagt merke til. Det lånte i det stille en liten del av mer enn 17 millioner enheter, deriblant datamaskiner, smarttelefoner, nettbrett, hjemmerutere og tilkoblede dingser, og leide forbindelsene deres ut til fremmede. Var en av de enhetene din, kan noen du aldri kommer til å møte ha surfet, skrapet data eller angrepet nettsteder gjennom hjemmelinjen din i månedsvis.

Nederlands nasjonale politi og landets nasjonale senter for cybersikkerhet stanset operasjonen etter å ha beslaglagt rundt 200 servere hos en hostingleverandør inne i Nederland. Etterforskerne beskriver nettverket som en residential proxy-tjeneste, et system som sender andres trafikk gjennom ekte forbrukerenheter slik at den ser ut som helt vanlig surfing fra et hjem. Den forkledningen er hele produktet. Trafikk som ser ut til å komme fra en ekte hjemmeadresse glir forbi svindelfiltrene som umiddelbart ville blokkert en kjent datasenterserver, og det er nettopp derfor residential-proxyer er ettertraktet hos annonsører, dataskrapere og kriminelle i like stor grad.

Nederlandske opplysninger har knyttet infrastrukturen til ASOCKS, et selskap med base i Russland som kommersielt selger tilgang til residential- og mobilproxyer. På overflaten ser ASOCKS ut som en helt vanlig abonnementstjeneste. Problemet er hvor hjemmeforbindelsene kommer fra. Sikkerhetsforskere har i årevis advart om at en stor del av enhetene som mater slike nett aldri ble meldt på bevisst, og at eierne ikke ante at båndbredden deres var til salgs.

Enhetene ble vervet på et par ulike måter, og nesten alle handler om feilplassert tillit til gratis programvare. Noen installerte en gratisapp, et bakgrunnsbildeverktøy, et telefonverktøy eller en uoffisiell VPN, som i bakgrunnen stille fikk med seg en proxyprogramvare. På Android meldte et kodebibliotek ved navn PROXYLIB, gjemt i et utviklingssett som app-produsenter la inn i produktene sine, telefoner på som proxynoder uten å spørre. Andre maskiner ble infisert med skadevare som installerte den samme funksjonen direkte. I alle tilfeller fortsatte enheten å fungere normalt mens forbindelsen jobbet for noen andre.

Når en enhet først var i bassenget, kunne forbindelsen brukes til nesten alt som tjener på å se ut som en uskyldig hjemmebruker. Nederlandske myndigheter sier nettverket matet phishing-kampanjer, spam, tjenestenektangrep som slår ut nettjenester, brute force- og credential stuffing-innloggingsforsøk, klikksvindel og SMS-pumping som i det stille tapper penger via overtakserte meldinger. En enkelt kapret ruter får ikke til stort alene. Sytten millioner, samlet, blir alvorlig infrastruktur.

Aksjonen er reell, men den er ingen kur. Politiet sikret serverne som styrte nettverket, men ASOCKS-nettstedet var fortsatt tilgjengelig etterpå, og hvor mye av virksomheten bak som faktisk ble ødelagt, er uklart. Å koble fra kommandoserverne renser ikke automatisk de 17 millioner enhetene, fordi medfølgende proxykode og skadevare kan ligge urørt i en telefon eller ruter til en ny operatør plukker dem opp. I tillegg er misbruk av residential-proxyer et marked, ikke ett enkelt selskap. Slår du ut ett nett, vandrer etterspørselen videre til det neste, fordi den lovlige appetitten på ekte adresser, fra annonseverifiseringsfirmaer til AI-selskaper som skraper nettet, holder modellen lønnsom.

For å gi en målestokk plasserer 17 millioner enheter dette blant de største proxynettene som noen gang er koblet ned, langt større enn mange av skadevare-botnettene som havner i overskriftene for å spre et enkelt virus. Til forskjell fra en løsepengeinfeksjon er det likevel sjelden et tydelig symptom. Tegnene pleier å være hverdagslige: en ruter som går varm eller starter på nytt uten grunn, et hjemmeabonnement som stadig treffer datataket, en telefon der batteri- og dataforbruket ikke stemmer med hvordan du faktisk bruker den, eller nettsteder som gang på gang ber deg løse captcha fordi de synes adressen din ser mistenkelig ut.

Fordi de infiserte enhetene var spredt over hele verden og ikke samlet i ett land, er risikoen ikke regional. Hvem som helst med en aldrende ruter eller en billig Android-telefon full av gratisverktøy kan ha blitt dratt med. De praktiske forsvarene er glansløse og velkjente: hold rutere og telefoner oppdatert, slett gratisapper du ikke egentlig bruker, hold deg unna programvare lastet ned utenfor de offisielle butikkene og uoffisielle VPN-er som lover noe for ingenting, og start på nytt en ruter som har gått urørt i årevis.

Saken begynte da en sikkerhetsforsker varslet senteret for cybersikkerhet om mistenkelig proxyaktivitet, og nederlandske myndigheter har antydet at analysen av de beslaglagte serverne fortsetter, så langt uten meldte pågripelser. Det den gjør tydelig, er at enhetsøkonomien nå rommer et svart marked for båndbredden din. Neste gang en app er gratis, kan produktet som selges være internettforbindelsen du allerede betaler for.

Telefonen eller ruteren din kan ha vært en av 17 millioner enheter som ble leid ut i hemmelighet

Mer som dette

GlassWorm gjemte seg et år i VS Code-utvidelser før det ble slått ned

En innloggingsfeil etterlot 70 millioner cPanel-nettsteder åpne for hvem som helst

En skanning av 380 000 AI-bygde apper fant tusenvis uten noen form for autentisering

OnlyFans-lekkasjen med 340 millioner kontoer er ikke et hackerangrep

The Red Line: tre thailandske kvinner jakter bedrageren som tømte sparekontoen deres i ett eneste anrop

Slik sniker skadelig kode seg inn i programvaren du stoler på via forsyningskjeden

Diskusjon