Google zieht Millionen Geräte aus IPIDEA-Residential-Proxy-Netz

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Residential Proxies verteilen Netzwerkverkehr von Kunden auf Geräte, die bei Internetprovidern in den Endkundenbereichen stehen. Darüber leiten vielfach Cyberkriminelle ihre Daten, um ihre Herkunft zu verschleiern. Nun ist Googles Threat Intelligence Team ein empfindlicher Schlag gegen das als bislang größte Residential-Proxy-Netzwerk IPIDEA gelungen.

Einerseits hat Google zusammen mit Partnern Domains vom Netz genommen, die zur Steuerung von Geräten und Proxy-Traffic dadurch genutzt wurden. Andererseits haben die IT-Forscher technische Informationen zu Software-Development-Kits (SDKs) und damit entwickelter Proxy-Software für das IPIDEA-Netz an Plattformanbieter, Strafverfolger und Forschungseinrichtungen weitergereicht, um ein Bewusstsein bei allen potenziell Betroffenen zu schaffen.

Die SDKs werden etwa Entwicklern über mehrere Mobil- und Desktop-Plattformen angeboten und dienen dazu, Geräte von Nutzerinnen und Nutzern heimlich dem IPIDEA-Netzwerk hinzuzufügen. Das gemeinsame Vorgehen gegen diese SDK hilft, die Weiterverbreitung des Netzwerks einzudämmen. Auf zertifizierten Android-Geräten hat Google zudem die Sicherheitsmechanismen nachgeschärft. Google Play Protect soll seitdem User warnen und die Apps entfernen, die das IPIDEA-SDK enthalten – und ihre künftige Installation unterbinden.

Begehrte Rsidential-Proxy-Adressen

IP-Adressen aus Ländern wie den USA, Kanada und Europa seien besonders begehrt, erklärt Google in der Analyse. Die Proxy-Software sei entweder auf den Geräten vorinstalliert oder komme mit trojanisierten App-Versionen auf die Smartphones, führt Google weiter aus. Einige Nutzerinnen und Nutzer könnten sich solche Software sogar willentlich installieren, angelockt von dem Versprechen, ihre verfügbare Bandbreite zu monetarisieren. Sind die Geräte erst einmal im Residential-Proxy-Netzwerk angemeldet, verkaufen die Betreiber Zugriff darauf an ihre Kunden.

Die Betreiber solcher Proxy-Netze betonen oft die Privatsphäre und freie Meinungsäußerung als Nutzen der Residential Proxies. Googles Untersuchungen zeigten jedoch, dass diese Netze zu einem überragenden Teil von bösartigen Akteuren genutzt werden. IPIDEA hat Bekanntheit dafür erlangt, mehrere Botnetze zu beherbergen. Das SDK spielt demnach eine Schlüsselrolle dabei, Geräte den Botnetzen hinzuzufügen. Das betreffe das Badbox-2.0-Botnetz, das Aisuru-Botnetz und das Kimwolf-Botnet sowie weitere.

Google hat IPIDEA-Nutzung zudem zum Ausführen von Spionage und zum Verüben von Verbrechen durch Bedrohungsakteure beobachtet. Allein in einem siebentägigen Zeitraum im Januar hat Google mehr als 550 Cybergangs verfolgen können, die mit den IPIDEA-Exit-Knoten ihre Aktivitäten zu verschleiern versuchten. Darunter waren Gruppierungen aus China, Iran, Nordkorea und Russland. Sie haben damit unbefugt auf Security-as-a-Service-(SaaS)-Umgebungen und On-Premises-Infrastruktur von Opfern zugegriffen und Passwort-Spraying-Attacken gestartet.

Bei der Untersuchung haben Googles IT-Sicherheitsforscher 3075 ausführbare Windows-Dateien gefunden sowie mehr als 600 Android-Apps, die Verweise auf die Tier-1-Domains des Command-and-Control-Netzwerkes enthalten. Die mobilen Apps hatten zu einem großen Teil normale Funktionen von Tools, Spielen oder Inhaltsanzeigen, nutzten jedoch die IPIDEA-SDKs und aktivierten das Proxy-Verhalten zur Monetarisierung. Die Analyse schließt noch mit einigen Indizien für Infektionen (Indicators of Compromise, IOCs), mit denen Interessierte ihre Systeme auf möglichen Befall prüfen können.

Im Jahr 2024 warnte etwa der Identitätsverwaltungsdienstleister Okta davor, dass es zu vermehrten Credential-Stuffing-Angriffen kam. Diese gingen ebenfalls von Residential Proxies aus.

(dmk)