DOJ und Europol zerschlagen SocksEscort-Krypto-Betrugsnetzwerk

SocksEscort, der kriminelle Proxy-Dienst, der stillschweigend Hunderttausende gewöhnliche Heimrouter in Tarnwerkzeuge für Cyberkriminalität verwandelte, ist am Ende. Am Donnerstag gaben das US-Justizministerium und Europol eine koordinierte internationale Zerschlagung bekannt, bei der Infrastruktur in sieben Ländern beschlagnahmt und $3,5 Millionen in Kryptowährung eingefroren wurden, die mit der Operation in Verbindung stehen — einem Netzwerk, das seit mindestens 2020 Bankbetrug und Krypto-Kontoübernahmen ermöglichte.

Wie funktionierte SocksEscort eigentlich?

Der Dienst war von Grund auf auf Täuschung aufgebaut. SocksEscort infizierte Router und internetfähige Geräte mit AVrecon-Malware und machte ahnungslose Gerätebesitzer zu unfreiwilligen Knotenpunkten innerhalb eines kriminellen Proxy-Netzwerks. Black Lotus Labs — die Threat-Intelligence-Abteilung des US-Telekommunikationsunternehmens Lumen Technologies — hatte AVrecon bereits im Juli 2023 öffentlich dokumentiert, doch die Operation lief weiter.

Kunden bezahlten den Proxy-Zugang anonym mit Kryptowährung, um ihre Identität zu verschleiern. Europol bestätigte, dass die Plattform über die Jahre ihres Betriebs mindestens 5 Millionen Euro — rund $5,7 Millionen — von ihren Nutzern erhalten hat. Der gesamte Zweck bestand darin, Cyberkriminellen eine saubere IP-Adresse zu geben: eine, die nicht auf sie zurückverfolgt werden kann, wenn Banken oder Krypto-Börsen Anmeldestandorte überprüfen.

In einem von den Staatsanwälten hervorgehobenen Fall verlor ein Opfer in New York etwa $1 Million in Krypto durch Kontoübernahmen, die das Proxy-Netzwerk ermöglichte. Das ist kein abstrakter Schaden. Das ist jemandes Altersvorsorge, sein gesamtes Portfolio, sein ganzes Vermögen — über den gehackten Router eines Fremden umgeleitet, bevor es verschwand.

Proxy-Dienste wie „SocksEscort" bieten Kriminellen die digitale Tarnung, die sie brauchen, um Angriffe zu starten, illegale Inhalte zu verbreiten und der Erkennung zu entgehen.

Acht Länder, ein koordinierter Schlag

Die SocksEscort-Zerschlagung umfasste Strafverfolgungsbehörden aus Österreich, Frankreich, den Niederlanden, Deutschland, Ungarn, Rumänien und den USA — wobei Europol und Eurojust die grenzüberschreitende Koordination übernahmen. Auf US-Seite waren das FBI-Büro in Sacramento, der Generalinspekteur des Verteidigungsministeriums mit dem Defense Criminal Investigative Service und die IRS Criminal Investigation des Büros in Oakland an der Operation beteiligt.

Die Behörden beschlagnahmten 34 Domains, schalteten rund 23 Server in sieben Ländern ab und froren die $3,5 Millionen in Kryptowährung ein, die mit dem Netzwerk in Verbindung stehen. Sowohl Black Lotus Labs als auch die gemeinnützige Shadowserver Foundation lieferten technische Erkenntnisse, die den Ermittlern halfen, die Infrastruktur zu kartieren und letztlich zu zerschlagen.

De Bolle ergänzte, dass die Operation bewiesen habe, dass internationale Zusammenarbeit kriminelle Infrastruktur aufdecken und stilllegen kann — wenn Ermittler tatsächlich die Verbindungen über Grenzen hinweg herstellen.

Warum sollten Krypto-Besitzer das interessieren?

Hier kommt der Teil, den die meisten Berichte auslassen: Ihr Router könnte Teil davon gewesen sein. Die Ermittlungen zum Europol-Cybercrime-Proxy-Dienst bestätigten, dass 369.000 Geräte in 163 Ländern kompromittiert wurden — was bedeutet, dass gewöhnliche Menschen, die keine Ahnung hatten, dass ihre Hardware involviert war, im Grunde kriminelle Tarnung für Krypto-Diebstähle und Bankbetrug lieferten.

Das größere Problem ist, was Netzwerke wie SocksEscort über die Rolle von Krypto in krimineller Infrastruktur offenbaren. Der Dienst wurde mit Krypto finanziert, ermöglichte Krypto-Diebstahl, und die eingefrorenen Erlöse wurden in Krypto beschlagnahmt. Die Strafverfolgung hat aufgeholt — diesmal. Aber die grundlegende Mechanik, anonyme Krypto-Zahlungen für anonymen Proxy-Zugang, wird nicht verschwinden. Die nächste Version dieser Operation läuft bereits irgendwo.