Den Haag – Ermittler zerschlagen kriminelles Proxy-Netzwerk
Redaktion Polizeiticker Österreich
(Symbolbild) (Bildquelle: Polizei )
Am 11. März 2026 zerschlugen internationale Ermittler bei der Operation „Lightning“ den Proxy-Dienst „SocksEscort“. Behörden aus mehreren Ländern schalteten 34 Domains und 23 Server ab. Zudem wurden Kryptowährungen im Wert von rund 3,5 Millionen Dollar eingefroren.
Am 11. März 2026 führte Europol in Zusammenarbeit mit Strafverfolgungsbehörden aus Österreich, Frankreich, den Niederlanden und den Vereinigten Staaten sowie Eurojust die Operation Lightning durch. Diese koordinierte Aktion richtete sich gegen den bösartigen Proxy-Dienst „SocksEscort“, der angeblich über 369 000 Router und IoT-Geräte in 163 Ländern kompromittiert und den Kunden von „SocksEscort“ in den letzten Jahren über 35 000 Proxys angeboten hatte.
Während des Aktionstages gelang es den Strafverfolgungsbehörden, 34 Domains sowie 23 Server in sieben Ländern zu schließen und zu beschlagnahmen. Darüber hinaus fror die USA Kryptowährungen im Wert von insgesamt 3,5 Millionen US-Dollar ein. Die infizierten Modems, die für den Proxy-Dienst genutzt wurden, wurden vom Dienst getrennt. Nach dieser Schließung werden die Strafverfolgungsbehörden die betroffenen Länder benachrichtigen und damit den Weg für weitere Ermittlungsinitiativen ebnen.
Magnus Brunner (EU-Kommissar für Inneres und Migration):
Catherine De Bolle (Exekutivdirektorin, Europol):Diese Operation zeigt, wie wichtig eine enge internationale Zusammenarbeit im Kampf gegen Cyberkriminalität ist. Wenn europäische Strafverfolgungsbehörden mit Partnern auf der anderen Seite des Atlantiks zusammenarbeiten, können wir kriminelle Netzwerke wirksam zerschlagen und unsere Bürger besser schützen. Europol spielt eine zentrale Rolle als Drehscheibe für den Informationsaustausch und die operative Zusammenarbeit, um der zunehmenden Globalisierung der Cyberkriminalität entschlossen entgegenzutreten.
Cyberkriminalität lebt von Anonymität. Proxy-Dienste wie „SocksEscort“ bieten Kriminellen die digitale Deckung, die sie benötigen, um Angriffe zu starten, illegale Inhalte zu verbreiten und sich der Aufdeckung zu entziehen. Durch die Zerschlagung dieser Infrastruktur haben die Strafverfolgungsbehörden einen Dienst gestört, der Cyberkriminalität auf globaler Ebene ermöglichte. Operationen wie diese zeigen, dass die Infrastruktur hinter Cyberkriminalität aufgedeckt und stillgelegt werden kann, wenn Ermittler international zusammenarbeiten.
Geräte, die über ausgenutzte Schwachstellen infiziert wurden
Die Ermittlungen, die im Juni 2025 mit der Eröffnung eines Verfahrens durch die Joint Cyberaction Task Force (J-CAT) von Europol begannen, ergaben, dass ein Botnetz aus infizierten Geräten geschaffen worden war. Diese Geräte, in erster Linie Heimrouter, wurden für verschiedene kriminelle Aktivitäten missbraucht, darunter Ransomware, DDoS-Angriffe und die Verbreitung von Material über sexuellen Kindesmissbrauch (CSAM).
Die kompromittierten Geräte wurden über eine Schwachstelle in den Modems einer bestimmten Marke infiziert. Kunden des kriminellen Dienstes bezahlten für Lizenzen, um diese infizierten Geräte zu missbrauchen, wobei sie ihre ursprünglichen IP-Adressen verbargen, um verschiedene kriminelle Aktivitäten durchzuführen. Zum Schutz vor solchen Angriffen wird Benutzern und Anbietern empfohlen, die Firmware ihrer Geräte regelmäßig zu aktualisieren.
Kriminelle Dienstleistungsplattform
Die Website bot einen kostenpflichtigen Proxy-Dienst an, der ihren Kunden Zugang zu kompromittierten IP-Adressen verschaffte, sodass sie ihre eigenen Adressen verbergen konnten. Der Zugang zu den verwendeten IP-Adressen wurde durch die Infizierung von Modems von Privatpersonen oder Organisationen weltweit mit Malware ermöglicht. Nach der Infizierung mit der Malware waren sich die Besitzer der Modems nicht bewusst, dass ihre IP-Adressen für illegale Aktivitäten genutzt wurden.
Um Zugang zum Proxy-Dienst zu erhalten, mussten die Kunden eine Zahlungsplattform nutzen, die es ihnen ermöglichte, den Dienst anonym mit Kryptowährung zu erwerben. Schätzungen zufolge hat diese Zahlungsplattform mehr als 5 Millionen Euro von Kunden des Proxy-Dienstes erhalten.
Europol als Informationszentrum
Europol spielte eine entscheidende Rolle bei der Unterstützung der Ermittlungen, indem es an Online- und physischen Treffen teilnahm, Datensprints veranstaltete und daran teilnahm, Kryptospürungen, Malware-Analysen und Netzwerkflussanalysen durchführte. Die Agentur leistete außerdem operative analytische Unterstützung, führte Abgleiche mit ihren Datenbanken durch und erstellte und verbreitete Informationsprodukte.
Am Aktionstag richtete Europol in seinen Räumlichkeiten in Den Haag (Niederlande) einen virtuellen Kommandoposten ein, um die Koordination zwischen allen Partnern zu erleichtern. Darüber hinaus bot Europol Fernunterstützung vom Kommandoposten bei Eurojust aus für die Kryptospurverfolgung und andere Ermittlungsunterstützung an. Diese Operation unterstreicht die Bedeutung der internationalen Zusammenarbeit bei der Bekämpfung der Cyberkriminalität.
Quelle der Nachricht: Europol