Nizozemské úřady oznámily 28. května 2026 zásah proti mimořádně rozsáhlému botnetu, který tvořilo nejméně 17 milionů napadených zařízení. Nešlo přitom jen o klasické počítače. Podle National Cyber Security Centre šlo také o tablety, mobilní telefony, routery a chytrá zařízení, tedy přesně ten typ techniky, který má doma nebo ve firmě téměř každý.

Na operaci spolupracovala nizozemská policie a National Cyber Security Centre, známé pod zkratkou NCSC. Vyšetřování začalo poté, co bezpečnostní výzkumník na síť upozornil právě NCSC. Centrum následně informovalo policii a společné prověřování ukázalo, že infrastrukturu botnetu řídilo 200 serverů umístěných v Nizozemsku. Policie část těchto serverů zajistila u hostingového poskytovatele a samotný botnet byl poskytovatelem odpojen, protože sloužil ke kriminálním účelům.

Podstatné je, že taková síť nemusí být na první pohled vidět. Napadené zařízení může dál fungovat zdánlivě normálně. Majitel používá telefon, router nebo kameru, ale zároveň může být jeho internetové připojení zneužíváno k útokům, podvodům, rozesílání phishingu nebo k maskování skutečné identity útočníků.

Proč jsou rezidenční proxy tak nebezpečné

Podle informací NL Times byl botnet spojen se službou ASOCKS, která nabízí takzvané rezidenční proxy. To je typ služby, při níž internetový provoz neodchází z běžného datacentra, ale přes domácí nebo firemní zařízení připojená k internetu. Pro obranu proti útokům je to nepříjemné hlavně proto, že provoz může vypadat jako běžná aktivita skutečného uživatele.

Rezidenční proxy se dají využívat i legálně, například pro testování služeb v různých regionech. Problém nastává ve chvíli, kdy síť stojí na zařízeních, jejichž majitelé o ničem nevědí, nebo kdy se přes ni maskuje kyberkriminalita. Útočník pak nemusí vystupovat ze své vlastní adresy. Jeho provoz může na cílový web nebo službu přicházet jako požadavek z běžné domácnosti, což ztěžuje blokování i vyšetřování.

Bezpečnostní firma HUMAN Security už 26. března 2024 popsala operaci PROXYLIB, která podle jejích zjištění měnila mobilní zařízení v proxy uzly bez vědomí uživatelů. Výzkumný tým Satori Threat Intelligence tehdy identifikoval 28 aplikací na Google Play, které měly podobnou funkci. HUMAN zároveň uvedl, že našel důkazy spojující PROXYLIB se službou ASOCKS. Mezi indicie patřily infikované IP adresy a porty vracené proxy endpointem ASOCKS i provoz, který přes testovací napadené zařízení odcházel směrem ke službě asocks.com.

NCSC upozorňuje, že součástí botnetu se zařízení mohou stát po zneužití bezpečnostní chyby, slabého hesla, špatného nastavení nebo instalaci škodlivého softwaru. Typickým problémem jsou také staré routery, kamery a další chytrá zařízení, která už nedostávají aktualizace. Právě u nich často stačí výchozí heslo, otevřené rozhraní nebo známá chyba, kterou nikdo neopravil.