Kriminelle Akteure nutzen seit Jahren bösartige Proxy-Netze für Distributed-Denial-of-Service (DDoS)-Angriffe. Diese Netzwerke aus kompromittierten Soho-Routern (Small Office, Home Office), NAS- (Network Attached Storage) oder IoT-Geräten tarnen den Ursprung der Angriffe, was die Zuordnung und Abwehr erschwert. Wurden klassische Botnetze in der Vergangenheit vor allem von kommerziellen Gruppen verwendet, greifen zunehmend staatlich gesponsorte Akteure auf bösartige Proxy-Netze zurück, so eine aktuelle Analyse der Threat-Intelligence-Forscher von Cisco Talos.
Ein aktuelles Beispiel dafür ist ein Botnetz, das bis September 2024 von der Gruppe "Volt Typhoon" kontrolliert wurde, einem Akteur aus China. Die Botnet-Malware verband gut 200'000 Verbrauchergeräte, darunter Soho-Router und IP-Kameras, zu einem Netz, das für Spionagetätigkeiten und disruptive Cyberangriffe auf kritische Infrastrukturen in den USA und weltweit eingesetzt wurde.
"Staatlich gesponserte Gruppen und Kriminelle greifen heute auf eine wachsende Zahl von Proxy-Netzwerken zurück, um ihre Spuren mittels Proxy-IP-Adressen zu verschleiern", sagt Holger Unterbrink, Technical Leader bei Cisco Talos. "Die DDoS-Angriffe kommen damit aus unverdächtigen Netzwerken."
Da es sich um Peer-to-Peer-Netze handelt, ist die innere Struktur dieser Botnetze schwer zu ermitteln. Technisch gesehen ermöglicht dies den Angreifern, Sicherheitsmassnahmen zu umgehen, die auf geografische oder IP-basierte Filterung angewiesen sind. Und das hat weitreichende Konsequenzen für die Abwehr.
"Unternehmen müssen sich im Klaren sein, dass Angriffe von überall kommen, selbst aus demselben IP-Heimnetz-Bereich, aus dem sich Mitarbeiter über VPNs verbinden", so Unterbrink. "‘Proxy Chain Services‘-Botnetze bieten Angreifern zwei wesentliche Vorteile: Sie verstecken die IP-Adresse des Akteurs, bieten also Schutz durch Anonymisierung, und sie verschleiern den Ursprung des Angriffes. Der Verteidiger im Unternehmens sieht nur einen eher unverdächtigen Datenverkehr aus einem typischen Consumer Segment, beispielsweise einem privaten DSL-Anschluss."
Damit gelingt es Angreifern laut dem Experten, eine wichtige Verteidigungslinie zu umgehen: Das Internet ist in administrative Bereiche aufgeteilt, die als "Autonomous Systems" (AS) bezeichnet werden und sich über eindeutige Nummern identifizieren lassen. Bestimmte Bereiche sind dafür bekannt, hauptsächlich Malware zu verbreiten, wodurch sie von vielen Unternehmen präventiv blockiert werden. Über die Nutzung von Botnetzen greifen Akteure aus unverdächtigen Bereichen an.
Unternehmen können sich, so die Einschätzung des Cisco Talos-Spezialisten, nur begrenzt gegen diese Angriffswege schützen. Eine Möglichkeit ist, den Netzwerkzugang über Managed Device Access zu beschränken, wobei nur Geräte mit speziellen Sicherheitszertifikaten Verbindungen herstellen dürfen. Allerdings handelt es sich dabei um eine vergleichsweise aufwändige Lösung.
