Holenderskie służby rozbiły botnet powiązany z 17 mln zainfekowanych urządzeń - Security Bez Tabu

Holenderskie służby rozbiły botnet powiązany z 17 mln zainfekowanych urządzeń

Cybersecurity news

Wprowadzenie do problemu / definicja

Botnet to sieć przejętych urządzeń, które pozostają pod zdalną kontrolą operatorów i mogą być wykorzystywane do prowadzenia działań przestępczych na dużą skalę. W praktyce obejmuje to komputery, smartfony, tablety, routery oraz urządzenia IoT, które po infekcji stają się elementem rozproszonej infrastruktury używanej do ataków DDoS, spamu, phishingu, oszustw i ukrywania źródła ruchu.

Najnowsza operacja przeprowadzona w Holandii pokazuje, że współczesne botnety coraz częściej pełnią również rolę zaplecza dla usług proxy opartych na zainfekowanych hostach. To model szczególnie niebezpieczny, ponieważ pozwala przestępcom korzystać z adresów IP realnych użytkowników, co utrudnia wykrywanie nadużyć.

W skrócie

  • Holenderska policja i krajowe centrum cyberbezpieczeństwa poinformowały o wyłączeniu botnetu obejmującego co najmniej 17 milionów urządzeń.
  • Zaplecze operacji miało opierać się na ponad 200 serwerach zlokalizowanych w Holandii.
  • Część infrastruktury została zajęta operacyjnie, a pozostała miała zostać odłączona przez dostawcę hostingu.
  • Według doniesień medialnych sprawa może być powiązana z usługą residential proxy działającą pod marką Asocks.

Kontekst / historia

W ostatnich latach botnety przestały być wyłącznie narzędziem do przeprowadzania ataków DDoS. Coraz częściej stają się one fundamentem komercyjnych usług proxy, które sprzedają klientom dostęp do ruchu wychodzącego z realnych urządzeń końcowych rozmieszczonych na całym świecie. Taki ruch jest trudniejszy do zablokowania, ponieważ pochodzi z adresów IP przypisanych użytkownikom indywidualnym, urządzeniom mobilnym lub sieciom domowym.

Obecna sprawa wpisuje się w szerszy trend nadużywania infrastruktury residential proxy. Badacze już wcześniej opisywali kampanie, w których oprogramowanie proxyware lub malware instalowano na urządzeniach z Androidem i innych platformach konsumenckich. Przykładem była szeroko komentowana kampania PROXYLIB, pokazująca, jak cienka bywa granica między legalnie wyglądającą usługą pośredniczącą a ekosystemem opartym na kompromitacji urządzeń.

Analiza techniczna

Z technicznego punktu widzenia tego typu operacje zwykle składają się z dwóch głównych warstw. Pierwszą stanowią końcówki, czyli zainfekowane urządzenia udostępniające przepustowość, adres IP i możliwość przekierowywania ruchu. Drugą tworzy warstwa zarządzająca, obejmująca serwery backendowe odpowiedzialne za rejestrację węzłów, uwierzytelnianie klientów, przydział tras, kontrolę sesji proxy oraz monitoring dostępności hostów.

Jeżeli rozbita infrastruktura rzeczywiście działała jako rozproszona usługa proxy, operatorzy mogli wykorzystywać przejęte urządzenia jako punkty wyjścia dla ruchu sieciowego. Taki model daje napastnikom kilka istotnych korzyści: maskowanie pochodzenia działań, obchodzenie blokad geograficznych, automatyzację nadużyć oraz ukrywanie aktywności za ruchem pochodzącym z legalnie wyglądających sieci konsumenckich.

Likwidacja ponad 200 serwerów zaplecza sugeruje, że działania skupiły się na warstwie sterowania i koordynacji. Nie oznacza to jednak automatycznego usunięcia infekcji z urządzeń końcowych. W wielu przypadkach malware pozostaje aktywne lokalnie, ale traci łączność z centralną infrastrukturą. Jeśli złośliwe oprogramowanie ma mechanizmy redundancji, zapasowe kanały C2 lub listy alternatywnych punktów kontrolnych, część aktywności może utrzymywać się jeszcze przez pewien czas.

Warto też podkreślić, że botnet obejmujący komputery, smartfony, tablety i urządzenia IoT raczej nie powstał w oparciu o jeden wektor infekcji. Znacznie bardziej prawdopodobny jest model wieloźródłowy, wykorzystujący nadużywane aplikacje mobilne, domyślne hasła w routerach, niezałatane luki, słabo zabezpieczone urządzenia brzegowe oraz instalacje oprogramowania z niezweryfikowanych źródeł.

Konsekwencje / ryzyko

Skala 17 milionów urządzeń oznacza istotne ryzyko zarówno dla użytkowników indywidualnych, jak i organizacji. Dla ofiar bezpośrednim problemem jest utrata kontroli nad urządzeniem, spadek wydajności, zwiększone zużycie transferu i zasobów oraz możliwość dalszej eskalacji ataku. Urządzenie działające jako węzeł proxy może być wykorzystywane do działań niezgodnych z prawem, co utrudnia analizę incydentów i atrybucję ruchu.

Dla firm zagrożenie ma dodatkowy wymiar operacyjny. Ruch pochodzący z sieci residential proxy może omijać część klasycznych mechanizmów reputacyjnych, utrudniać wykrywanie automatycznych nadużyć i wspierać takie działania jak credential stuffing, scraping, enumeracja zasobów, omijanie zabezpieczeń antybotowych czy oszustwa reklamowe i finansowe. Tego rodzaju infrastruktura może być również wykorzystywana jako pośrednik w kampaniach phishingowych oraz we wstępnych fazach ataków ukierunkowanych.

Ryzyko nie kończy się na wyłączeniu serwerów zaplecza. Jeżeli malware nadal pozostaje na urządzeniach, a użytkownicy nie przeprowadzą remediacji, możliwe jest ponowne włączenie ich do innej sieci botnetowej. Problem ten szczególnie dotyczy routerów SOHO, kamer, rejestratorów i innych urządzeń IoT, które często działają latami bez aktualizacji, monitoringu i zmiany domyślnych poświadczeń.

Rekomendacje

Incydent należy traktować jako wyraźne przypomnienie, że urządzenia brzegowe, mobilne i IoT są pełnoprawnym elementem powierzchni ataku. Skuteczna obrona wymaga nie tylko ochrony komputerów pracowników, ale także lepszej kontroli nad sprzętem sieciowym i aplikacjami instalowanymi poza klasycznym środowiskiem IT.

  • Utrzymuj pełną inwentaryzację urządzeń końcowych, routerów, modemów, kamer i systemów IoT.
  • Regularnie aktualizuj systemy operacyjne, firmware i aplikacje, szczególnie na urządzeniach wystawionych do internetu.
  • Wyłącz domyślne konta i natychmiast zmieniaj fabryczne hasła na silne, unikalne poświadczenia.
  • Włącz uwierzytelnianie wieloskładnikowe wszędzie tam, gdzie jest dostępne.
  • Ogranicz instalację aplikacji do zaufanych źródeł i monitoruj obecność oprogramowania proxyware.
  • Analizuj anomalia ruchu wychodzącego, w tym nietypowe długie sesje i wzrost transferu na urządzeniach o niskim profilu aktywności.
  • Segmentuj urządzenia IoT i sprzęt domowy używany hybrydowo przez pracowników od systemów biznesowych.
  • Wdrażaj mechanizmy detekcji aktywności botnetowej, w tym analizę beaconingu, C2 i anomalii DNS.
  • Zabezpieczaj sieci Wi-Fi nowoczesnymi standardami szyfrowania i regularnie przeglądaj listę podłączonych urządzeń.
  • W przypadku podejrzenia infekcji izoluj host, analizuj artefakty, zmieniaj poświadczenia i rozważ pełną reinstalację lub reset sprzętu do ustawień fabrycznych.

Z perspektywy operatorów hostingu, centrów danych i dostawców usług internetowych kluczowe znaczenie ma również szybkie reagowanie na zgłoszenia abuse, korelacja wskaźników kompromitacji oraz identyfikowanie usług pośredniczących, które mogą pełnić rolę warstwy zarządzającej botnetem.

Podsumowanie

Operacja holenderskich służb przeciwko botnetowi powiązanemu z co najmniej 17 milionami urządzeń pokazuje skalę współczesnych zagrożeń opartych na przejętej infrastrukturze konsumenckiej. Kluczowe znaczenie ma nie tylko liczba zainfekowanych hostów, lecz także sposób ich wykorzystania jako rozproszonej sieci proxy zdolnej wspierać szerokie spektrum działań przestępczych.

Dla zespołów bezpieczeństwa to kolejny sygnał, że skuteczna obrona wymaga większej widoczności urządzeń brzegowych, lepszej kontroli nad aplikacjami mobilnymi oraz konsekwentnej higieny bezpieczeństwa obejmującej cały ekosystem endpointów.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/05/dutch-authorities-dismantle-botnet.html
  2. Politie.nl — Politie en NCSC halen groot botnetwerk offline — https://www.politie.nl/nieuws/2026/mei/28/06-politie-en-ncsc-halen-groot-botnetwerk-offline.html
  3. Ars Technica — Botnet of more than 17 million devices dismantled — https://arstechnica.com/security/2026/05/botnet-of-more-than-17-million-devices-dismantled/
  4. BleepingComputer — Dutch govt disrupts malware botnet with 17 million infected devices — https://www.bleepingcomputer.com/news/security/dutch-govt-disrupts-malware-botnet-with-17-million-infected-devices/amp/
  5. HUMAN Security — PROXYLIB: A Scalable Proxyware Campaign Using Up to 1.5 Million Android Devices — https://www.humansecurity.com/learn/blog/proxylib-a-scalable-proxyware-campaign-using-up-to-1-5-million-android-devices/