Din telefon eller router kan have været en af 17 millioner enheder, der i hemmelighed blev lejet ud

Et botnet røber sig ikke altid ved at gøre telefonen langsom eller fylde skærmen med pop op-vinduer. Netværket, som hollandsk politi netop har lukket, gjorde næsten intet, som en almindelig ejer ville bemærke. Det lånte i stilhed en lille del af mere end 17 millioner enheder, heriblandt computere, smartphones, tablets, hjemmeroutere og netforbundne dimser, og lejede deres forbindelser ud til fremmede. Var en af de enheder din, kan en, du aldrig kommer til at møde, have surfet, skrabet data eller angrebet websteder gennem din hjemmeforbindelse i månedsvis.

Hollands nationale politi og landets nationale cybersikkerhedscenter standsede operationen, efter at de havde beslaglagt omkring 200 servere hos en hostingudbyder inde i Holland. Efterforskerne beskriver netværket som en residential proxy-tjeneste, et system, der sender andres trafik gennem rigtige forbrugerenheder, så det ligner helt almindelig surfing fra et hjem. Den forklædning er hele produktet. Trafik, der ser ud til at komme fra en ægte hjemmeadresse, glider forbi de svindelfiltre, der øjeblikkeligt ville blokere en kendt datacenterserver, og netop derfor er residential-proxyer eftertragtede hos annoncører, dataskrabere og kriminelle på lige fod.

Hollandske oplysninger har koblet infrastrukturen til ASOCKS, et selskab med base i Rusland, der kommercielt sælger adgang til residential- og mobilproxyer. På overfladen ligner ASOCKS en helt almindelig abonnementsforretning. Problemet er, hvor dets hjemmeforbindelser kommer fra. Sikkerhedsforskere har i årevis advaret om, at en stor del af de enheder, der fodrer den slags net, aldrig blev tilmeldt bevidst, og at ejerne ikke anede, at deres båndbredde var til salg.

Anbefalet læsningEn login-fejl efterlod 70 millioner cPanel-hjemmesider åbne for alle

Enhederne blev hvervet på et par forskellige måder, og næsten alle handler om fejlplaceret tillid til gratis software. Nogle installerede en gratis app, et baggrundsbillede, et telefonværktøj eller en uofficiel VPN, der i baggrunden stille fulgte med en proxysoftware. På Android tilmeldte et kodebibliotek ved navn PROXYLIB, gemt i et udviklingskit, som app-producenter lagde ind i deres produkter, telefoner som proxynoder uden at spørge. Andre maskiner blev inficeret med malware, der installerede den samme funktion direkte. I alle tilfælde fortsatte enheden med at fungere normalt, mens dens forbindelse arbejdede for en anden.

Når en enhed først var i puljen, kunne dens forbindelse bruges til næsten alt, der har fordel af at ligne en uskyldig hjemmebruger. Hollandske myndigheder siger, at netværket fodrede phishingkampagner, spam, overbelastningsangreb, der lægger onlinetjenester ned, brute force- og credential stuffing-loginforsøg, kliksvindel og SMS-pumping, der i stilhed dræner penge via overtakserede beskeder. En enkelt kapret router udretter ikke meget alene. Sytten millioner, samlet, bliver til alvorlig infrastruktur.

Aktionen er virkelig, men den er ingen kur. Politiet sikrede de servere, der styrede netværket, men ASOCKS’ websted kunne stadig nås bagefter, og hvor meget af den bagvedliggende forretning der faktisk blev ødelagt, står hen i det uvisse. At lukke kommandoserverne renser ikke automatisk de 17 millioner enheder, for medfølgende proxykode og malware kan ligge urørt i en telefon eller router, indtil en ny operatør samler dem op. Desuden er misbrug af residential-proxyer et marked, ikke et enkelt selskab. Lukker man ét net, vandrer efterspørgslen videre til det næste, fordi den lovlige appetit på rigtige adresser, fra annonceverificeringsfirmaer til AI-virksomheder, der skraber nettet, holder modellen indbringende.

For at give en målestok placerer 17 millioner enheder dette blandt de største proxynet, der nogensinde er lukket, langt større end mange af de malware-botnet, der kommer i overskrifterne for at sprede en enkelt virus. Til forskel fra en ransomware-infektion er der dog sjældent et tydeligt symptom. Sporene plejer at være banale: en router, der bliver varm eller genstarter uden grund, et hjemmeabonnement, der hele tiden rammer sit dataloft, en telefon, hvis batteri- og dataforbrug ikke passer med, hvordan du rent faktisk bruger den, eller websteder, der igen og igen beder dig løse captcha, fordi de synes, din adresse ser mistænkelig ud.

Fordi de inficerede enheder var spredt over hele verden og ikke samlet i ét land, er risikoen ikke regional. Enhver med en ældre router eller en billig Android-telefon fyldt med gratis værktøjer kan være blevet trukket med. De praktiske forsvar er glansløse og velkendte: hold routere og telefoner opdaterede, slet gratis apps, du ikke reelt bruger, hold dig fra software hentet uden for de officielle butikker og uofficielle VPN’er, der lover noget for ingenting, og genstart en router, der har kørt urørt i årevis.

Sagen begyndte, da en sikkerhedsforsker gjorde cybersikkerhedscentret opmærksom på mistænkelig proxyaktivitet, og hollandske myndigheder har antydet, at analysen af de beslaglagte servere fortsætter, indtil videre uden anmeldte anholdelser. Hvad den gør klart, er, at enhedsøkonomien nu rummer et sort marked for din båndbredde. Næste gang en app er gratis, kan produktet, der sælges, være den internetforbindelse, du allerede betaler for.

Flere som denne

En scanning af 380.000 apps bygget med AI fandt tusinder uden nogen som helst autentificering

GlassWorm gemte sig et år i VS Code-udvidelser, før det blev lukket ned

Sådan sniger ondsindet kode sig ind i den software, du stoler på, via forsyningskæden

The Red Line: tre thailandske kvinder jagter svindlerbagmanden, der røvede deres opsparing i ét opkald

En forgiftet VS Code-udvidelse stjal 3.800 af GitHubs interne repositorier

OnlyFans-lækken med 340 millioner konti er ikke et hack