{"id":121,"date":"2026-06-19T08:54:57","date_gmt":"2026-06-19T08:54:57","guid":{"rendered":"https:\/\/shattered.io\/no\/2026\/06\/19\/asocks-botnet-17-millioner-enheter-2026\/"},"modified":"2026-06-19T08:56:48","modified_gmt":"2026-06-19T08:56:48","slug":"asocks-botnet-17-millioner-enheter-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/no\/asocks-botnet-17-millioner-enheter-2026\/","title":{"rendered":"Asocks-botnettet nedtatt: 17 millioner enheter i 163 land [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Den 28. mai 2026 gjennomf\u00f8rte nederlandsk politi og Nasjonal sikkerhets- og krisereduksjonssenter (NCSC-NL) en av de st\u00f8rste botnet-nedtakingene i historien. Politiet beslagla over 200 kommando- og kontrollservere fra en nederlandsk hostingleverand\u00f8r og kuttet infrastrukturen bak Asocks, en russiskbasert proxytjeneste som hadde infisert minst 17 millioner enheter i 163 land. Botnettets servere er borte, men enhetene er fortsatt infisert og kan rekrutteres p\u00e5 nytt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Nedtakingen avdekker noe viktigere enn en enkelt kriminell operasjon: den eksponerer en voksende bransje der nettkriminelle selger tilgang til kaprede forbrukerenheter som abonnementstjeneste, for s\u00e5 lite som 5 dollar per m\u00e5ned. Routere, smarttelefoner, nettbrett og smarte kameraer i norske hjem kan inng\u00e5 i slike nettverk uten at eierne aner det.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"hva-skjedde-nederlandsk-politi-slar-til-mot-historisk-botnet\">Hva skjedde: Nederlandsk politi sl\u00e5r til mot historisk botnet<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Operasjonen ble annonsert 28. mai 2026 etter m\u00e5neder med etterforskning. En privat sikkerhetsetterforsker varslet NCSC-NL om botnettets eksistens. Senteret videresendte tipset til politiets cyberenhet, som gjennomf\u00f8rte en koordinert razzia mot en nederlandsk hostingleverand\u00f8r.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Resultatet var enest\u00e5ende: politiet beslagla et utvalg av de over 200 serverene for etterforskning, og leverand\u00f8ren tok resten av infrastrukturen offline etter \u00e5 ha konstatert at den ble brukt til kriminell virksomhet. Nederlandsk politi beskriver aksjonen som en av de st\u00f8rste forstyrringene av skadelig programvare noensinne.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&#8220;Kriminelle kan fjernstyre enhetene, ofte uten at eieren merker det,&#8221; sa nederlandsk politi i sin offisielle uttalelse. &#8220;Botnet brukes til cyberangrep, utsendelse av spam og phishing-e-poster, nettsvindel og til \u00e5 forstyrre nettsteder ved \u00e5 sende store mengder internettrafikk samtidig.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">NCSC-NL bekreftet omfanget i sin egen kunngj\u00f8ring: &#8220;Etterforskningen avsl\u00f8rte at botnettets infrastruktur besto av minst 17 millioner infiserte enheter, og at de 200 serverene som ble brukt til \u00e5 hoste infrastrukturen, befant seg i Nederland.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Nedtakingen kom ikke alene. Asocks-aksjonen er en del av et bredt m\u00f8nster av intensivert europeisk politiinnsats mot kriminell nettinfrastruktur. Tidligere i 2025 og 2026 hadde myndigheter allerede sl\u00e5tt til mot Aisuru\/Kimwolf (over 2 millioner enheter), SocksEscort, FirstVPN, IPIDEA og RapperBot. Sammenlignet med disse er Asocks av en helt annen st\u00f8rrelsesorden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"asocks-den-russiske-proxytjenesten-bak-17-millioner-infiserte-enheter\">Asocks: Den russiske proxytjenesten bak 17 millioner infiserte enheter<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Selv om nederlandske myndigheter ikke navnga botnetoperat\u00f8ren i sine offisielle uttalelser, rapporterte nederlandske medier, inkludert NL Times, at aksjonen var rettet mot Asocks, et russiskbasert selskap som solgte s\u00e5kalt &#8220;residential proxy&#8221;-tjeneste.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Konseptet bak Asocks er enkelt og farlig: selskapet infiserte forbrukerenheter med skadelig programvare og ga betalende kunder tilgang til \u00e5 rute internetttrafikk gjennom disse enhetene. For nettkriminelle betyr dette at angrep og svindel ser ut til \u00e5 komme fra vanlige hjemmeforbindelser, ikke fra mistenkelige datasentre som lett kan blokkeres av sikkerhetssystemer.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Asocks markedsf\u00f8rte seg som en legitim tjeneste og tilb\u00f8d abonnementer fra 5 til 15 dollar per m\u00e5ned, med volumrabatter p\u00e5 fem til femten prosent for st\u00f8rre bestillinger. Den tilsynelatende kommersielle fasaden skjulte at millioner av intetanende forbrukere hadde f\u00e5tt enhetene sine kapret som del av kriminell infrastruktur.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Etter at serverene ble beslaglagt, forble Asocks-nettstedet tilgjengelig online. Det er uklart om deler av botnettets infrastruktur overlevde aksjonen, og om operat\u00f8rene allerede er i gang med \u00e5 bygge opp igjen fra servere i andre land.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"proxylib-slik-ble-android-enheter-kapret-gjennom-legitime-apper\">PROXYLIB: Slik ble Android-enheter kapret gjennom legitime apper<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">En sentral smittevei ble avdekket allerede i april 2024. HUMAN Securitys Satori Threat Intelligence-team identifiserte en kampanje kalt PROXYLIB: et ondsinnet kodebibliotek kalt LumiApps var innebygd i legitime Android-apper for \u00e5 generere annonseinntekter for utviklere.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Problemet var at LumiApps i det skjulte registrerte brukernes enheter som noder i Asocks proxy-nettverk. Utviklere som integrerte biblioteket for \u00e5 tjene penger, ga ufrivillig brukerne sine bort som del av et kriminelt botnet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Forskerne fant 28 apper som inneholdt PROXYLIB-biblioteket, med opptil 190.000 enheter registrert gjennom disse appene alene. Infeksjonsvektoren var s\u00e6rlig farlig fordi den utnyttet tilliten brukerne hadde til tilsynelatende legitime applikasjoner lastet ned fra offisielle kanaler.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"andre-infeksjonsvektorer-i-asocks-nettverket\">Andre infeksjonsvektorer i Asocks-nettverket<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">PROXYLIB var ikke den eneste veien inn. Asocks-nettverket inkluderte routere, smarte kameraer og IoT-enheter som ble kompromittert gjennom svake standardpassord, utdatert firmware og eksponerte tjenester. Enheter med fabrikantinnstilte brukernavn og passord var spesielt s\u00e5rbare, siden disse opplysningene er offentlig kjent og det f\u00f8rste angriperne fors\u00f8ker.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Angriperne modifiserte tilgangskontrollister (ACL) for \u00e5 legge til egne IP-adresser og eksponerte tjenester som SSH, RDP og FTP p\u00e5 ikke-standardiserte porter for \u00e5 unng\u00e5 oppdagelse. Disse teknikkene gjenspeiler metoder brukt av statlige akt\u00f8rer, noe som viser at kriminelle akt\u00f8rer aktivt adopterer avanserte taktikker.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"hva-botnettene-ble-brukt-til-ddos-phishing-og-industriell-svindel\">Hva botnettene ble brukt til: DDoS, phishing og industriell svindel<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Asocks-nettverket ble solgt til et bredt spekter av kriminelle kunder med ulike form\u00e5l. Nederlandsk politi bekreftet f\u00f8lgende bruksomr\u00e5der:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>DDoS-angrep:<\/strong> Overbelastning av nettsteder og tjenester ved \u00e5 sende enorme mengder trafikk fra tilsynelatende legitime hjemme-IP-adresser, noe som gj\u00f8r blokkering ekstremt vanskelig.<\/li>\n<li><strong>Phishing:<\/strong> Utsendelse av phishing-e-poster fra IP-adresser knyttet til vanlige forbrukere, som omg\u00e5r mange e-postfiltre designet for \u00e5 blokkere kjente ondsinnede adresser.<\/li>\n<li><strong>Nettsvindel:<\/strong> Maskering av svindeloperasjoner ved \u00e5 la trafikk se ut som den kommer fra geografisk spredte hjemmeforbindelser.<\/li>\n<li><strong>C2-anonymisering:<\/strong> Andre botnet brukte Asocks som et ekstra lag med anonymisering for sine kommando- og kontrolloperasjoner.<\/li>\n<li><strong>Innholdsskraping:<\/strong> Automatisert innhenting av data fra nettsteder i stor skala for konkurransespionasje eller prismanipulasjon.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Modellen er sofistikert nettopp fordi den skiller mellom tjenesteyteren (Asocks) og de faktiske kriminelle brukerne. Dette skapte et ekstra lag av juridisk og teknisk kompleksitet for etterforskningsmyndighetene, som m\u00e5tte spore b\u00e5de operat\u00f8rene og kundene.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"163-land-berort-norges-og-nordens-eksponering\">163 land ber\u00f8rt: Norges og Nordens eksponering<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Botnettets 17 millioner infiserte enheter var spredt over 163 land. Nederlandske myndigheter navnga ikke enkeltland i sin offisielle rapport, men Norden er blant regionene med h\u00f8yest internettdekning og IoT-adopsjon per innbygger i verden, noe som gir statistisk grunn til \u00e5 anta betydelig nordisk tilstedev\u00e6relse i nettverket.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">If\u00f8lge DNVs 2026-rapport om nordisk cyberrobusthet ble 21 cyberhendelser registrert mot norske organisasjoner i 2025, sammenlignet med 60 i Sverige, 44 i Finland og 41 i Danmark. Den h\u00f8ye nordiske tilkoblingen kombinert med utbredt bruk av smarte hjemmeenheter gj\u00f8r forbrukere i regionen til attraktive m\u00e5l for nettverk som Asocks.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Norge har en av verdens h\u00f8yeste bredb\u00e5ndsdekningstall, med n\u00e6r 100 prosent husholdningsdekning og utbredt bruk av IoT-enheter som smarte h\u00f8yttalere, smarte TV-er og hjemmeroutere. Alle disse representerer potensielle inngangspunkter for et botnet som Asocks. For norske brukere betyr dette at risikoen ikke er abstrakt: routeren i leiligheten kan allerede ha v\u00e6rt en del av nettverket.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hva-det-betyr-for-norske-bedrifter\">Hva det betyr for norske bedrifter<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">For norske virksomheter representerer residensielle proxy-botnet en s\u00e6rlig lumsk trussel. Angrep rute gjennom norske hjemme-IP-adresser er langt vanskeligere \u00e5 oppdage og blokkere enn angrep fra kjente ondsinnede servere. Sikkerhetsverkt\u00f8y basert p\u00e5 IP-omd\u00f8mmefiltere vil ikke flagge trafikk fra naboen som mistenkelig.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Phishing-kampanjer rute gjennom Asocks-nettverket ville ha hatt en vesentlig h\u00f8yere leveringsrate enn typiske spam-kampanjer, og DDoS-angrep mot norske tjenester ville ha v\u00e6rt betydelig vanskeligere \u00e5 mitigere. Bedrifter som baserer sikkerhet utelukkende p\u00e5 IP-blokklister, har et hull i forsvaret.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"infrastrukturen-er-nede-men-17-millioner-enheter-forblir-infisert\">Infrastrukturen er nede, men 17 millioner enheter forblir infisert<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Den mest kritiske detaljen i denne saken er hva nedtakingen ikke oppn\u00e5dde: den fjernet ikke skadelig programvare fra de 17 millioner infiserte enhetene. Serverene er beslaglagt, men malwaren sitter fortsatt p\u00e5 routere, telefoner og IoT-gadgets rundt om i verden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&#8220;Infrastrukturen ble demontert; det underliggende problemet ble ikke l\u00f8st,&#8221; konkluderte wespeakiot.com i sin analyse. &#8220;Hver enhet forblir kapabel til ny rekruttering av de opprinnelige operat\u00f8rene som gjenoppbygger nettverket andre steder, eller av helt andre kriminelle akt\u00f8rer som s\u00f8ker etter kjente kompromitterte systemer.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dette er ikke et hypotetisk scenario. Historiske presedenser fra nedtakingen av Emotet i 2021 og Qakbot i 2023 viser at operat\u00f8rene typisk gjenopptar aktivitet innen m\u00e5neder med ny infrastruktur i andre jurisdiksjoner. 5socks og Anyproxy, to lignende proxy-tjenester nedbygd av FBI i 2025, hadde operert i over 20 \u00e5r og generert 46 millioner dollar i inntekter, noe som viser at l\u00f8nnsomheten i denne bransjen er vedvarende.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"sammenligning-de-storste-botnet-nedtakingene-i-2025-2026\">Sammenligning: De st\u00f8rste botnet-nedtakingene i 2025-2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Asocks-nedtakingen skjer i en periode der myndigheter globalt intensiverer kampen mot botnet-infrastruktur. Tabellen nedenfor viser de viktigste aksjonene i det siste \u00e5ret og setter dem i perspektiv:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Botnet \/ Tjeneste<\/th><th>Tidspunkt<\/th><th>Infiserte enheter<\/th><th>Myndigheter<\/th><th>Kjente inntekter<\/th><\/tr><\/thead><tbody><tr><td>Asocks (residensiell proxy)<\/td><td>Mai 2026<\/td><td>17 millioner (163 land)<\/td><td>Nederlandsk Politie + NCSC-NL<\/td><td>Ukjent<\/td><\/tr><tr><td>5socks og Anyproxy<\/td><td>2025<\/td><td>EOL-routere (20+ \u00e5r drift)<\/td><td>FBI + internasjonale partnere<\/td><td>46 millioner dollar<\/td><\/tr><tr><td>Aisuru \/ Kimwolf<\/td><td>2025-2026<\/td><td>Over 2 millioner<\/td><td>Internasjonalt samarbeid<\/td><td>Ukjent<\/td><\/tr><tr><td>SocksEscort<\/td><td>2025-2026<\/td><td>Ikke publisert<\/td><td>Internasjonalt samarbeid<\/td><td>Ukjent<\/td><\/tr><tr><td>IPIDEA<\/td><td>2025-2026<\/td><td>Ikke publisert<\/td><td>Internasjonalt samarbeid<\/td><td>Ukjent<\/td><\/tr><tr><td>RapperBot<\/td><td>2025-2026<\/td><td>Ikke publisert<\/td><td>Internasjonalt samarbeid<\/td><td>Ukjent<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">5socks\/Anyproxy-saken er spesielt opplysende som historisk kontekst. FBI bekreftet at de to proxy-tjenestene hadde operert i over 20 \u00e5r med utelukkende hackede routere som hadde n\u00e5dd end-of-life, og at operat\u00f8rene tjente 46 millioner dollar p\u00e5 \u00e5 selge tilgang til disse enhetene. Fire utenlandske statsborgere ble tiltalt. Sammenlignet med Asocks er det tydelig at skalaen p\u00e5 slike operasjoner \u00f8ker dramatisk.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"tradisjonelle-botnet-mot-residensielle-proxy-botnet-en-farlig-evolusjon\">Tradisjonelle botnet mot residensielle proxy-botnet: En farlig evolusjon<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">For \u00e5 forst\u00e5 Asocks-trusselen fullt ut er det viktig \u00e5 skille mellom tradisjonelle botnet og residensielle proxy-botnet. De opererer etter fundamentalt ulike forretningsmodeller og skaper ulike sikkerhetsutfordringer:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Egenskap<\/th><th>Tradisjonelt botnet<\/th><th>Residensielt proxy-botnet (Asocks-modell)<\/th><\/tr><\/thead><tbody><tr><td>Form\u00e5l<\/td><td>Direkte angrep, spam, kryptomining<\/td><td>Trafikkanonymisering som tjeneste<\/td><\/tr><tr><td>Prim\u00e6r verdi<\/td><td>Datakraft og b\u00e5ndbredde<\/td><td>Legitim-utseende IP-adresser<\/td><\/tr><tr><td>Forretningsmodell<\/td><td>Direkte kriminell bruk<\/td><td>Abonnementstjeneste ($5-$15\/mnd)<\/td><\/tr><tr><td>Oppdagbarhet<\/td><td>H\u00f8y (kjente ondsinnede IP-er)<\/td><td>Sv\u00e6rt lav (vanlige hjemme-IP-er)<\/td><\/tr><tr><td>Kunder<\/td><td>Botnet-operat\u00f8ren selv<\/td><td>Tredjepartskriminelle (DDoS, phishing, svindel)<\/td><\/tr><tr><td>Juridisk kompleksitet<\/td><td>\u00c9n akt\u00f8r \u00e5 etterforske<\/td><td>Tjenesteyteren og brukerne er adskilte<\/td><\/tr><tr><td>Blokkering ved kilden<\/td><td>Relativt enkelt<\/td><td>Sv\u00e6rt vanskelig uten \u00e5 blokkere legitime brukere<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">&#8220;Asocks-nedtakingen er ikke prim\u00e6rt viktig fordi servere ble beslaglagt, men fordi den eksponerer den moderne kriminelle proxy-bransjen bygget p\u00e5 forbrukerenheter og abonnementsmisbruk,&#8221; oppsummerte analytikere hos Ciphers Security i sin vurdering. Den kommersielle modellen er det som gj\u00f8r trusselen s\u00e5 vanskelig \u00e5 h\u00e5ndtere: for Asocks-kunder var det en kj\u00f8psavgj\u00f8relse, ikke en teknisk handling, \u00e5 leie proxy-kapasitet.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"konsekvenser-for-norsk-offentlig-sektor-og-kritisk-infrastruktur\">Konsekvenser for norsk offentlig sektor og kritisk infrastruktur<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">For norske sikkerhetsansvarlige i offentlig sektor og kritisk infrastruktur byr Asocks-saken p\u00e5 tre konkrete utfordringer.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">For det f\u00f8rste: IP-omd\u00f8mmekontroller holder ikke som eneste forsvar. Norske virksomheter som baserer seg p\u00e5 blokklister over kjente ondsinnede adresser for \u00e5 filtrere phishing og angrep, er ikke beskyttet mot trafikk rute gjennom vanlige norske hjemme-IP-adresser. Sikkerhetsarkitektur m\u00e5 inkludere atferdsbasert analyse og null-tillit-prinsipper i tillegg til perimetersikkerhet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">For det andre: ansatte med infiserte hjemmeenheter representerer en indirekte risiko. Norske virksomheter med utstrakt hjemmearbeid m\u00e5 vurdere at ansattes routere og private enheter kan v\u00e6re del av et botnet, og at dette potensielt kan p\u00e5virke virksomhetens sikkerhetsstilling gjennom VPN-forbindelser og fjernaksess.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">For det tredje: kommunal infrastruktur er et attraktivt m\u00e5l. Asocks-kunder som \u00f8nsket \u00e5 gjennomf\u00f8re DDoS-angrep mot norsk offentlig infrastruktur, kommunale nettsteder eller helsetjenester, ville ha hatt tilgang til norske IP-adresser som gj\u00f8r angrepet vanskeligere \u00e5 filtrere. Nasjonal sikkerhetsmyndighet (NSM) har konsekvent advart norske organisasjoner om nettopp denne type skjulte infrastruktur i sine annual threat assessments.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"ncsc-nls-anbefalinger-hva-du-bor-gjore-na\">NCSC-NLs anbefalinger: Hva du b\u00f8r gj\u00f8re n\u00e5<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">NCSC-NL publiserte en konkret liste med mottiltak i forbindelse med kunngj\u00f8ringen av nedtakingen. Anbefalingene er direkte relevante for norske forbrukere og bedrifter:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Oppdater alle operativsystemer, router-firmware og appprogramvare umiddelbart.<\/strong> De fleste infeksjoner utnytter kjente s\u00e5rbarheter i utdatert programvare som produsenten allerede har patchet.<\/li>\n<li><strong>Oppretthold synlighet over alle &#8220;edge devices&#8221;<\/strong>, det vil si alle internettvendte endepunkter i nettverket, fra routere og kameraer til industrielle gateways.<\/li>\n<li><strong>Bruk sterke, unike passord<\/strong> p\u00e5 alle enheter og kontoer. Gjenbrukte passord er en av de vanligste inngangspunktene.<\/li>\n<li><strong>Aktiver tofaktorautentisering<\/strong> der enheten st\u00f8tter det.<\/li>\n<li><strong>Endre standardopplysninger umiddelbart<\/strong> etter at en ny enhet er satt opp. Fabrikantens standardpassord er offentlig tilgjengelige og alltid de f\u00f8rste angriperne tester.<\/li>\n<li><strong>Sikre Wi-Fi-nettverk med minimum WPA2 eller WPA3.<\/strong> Eldre krypteringsstandarder er kompromittert og b\u00f8r ikke brukes.<\/li>\n<li><strong>Installer kun apper fra verifiserte, klarerte kilder<\/strong> og gjennomg\u00e5 apper med un\u00f8dvendige tillatelser jevnlig.<\/li>\n<\/ol>\n\n\n\n<p class=\"wp-block-paragraph\">For bedrifter anbefaler sikkerhetseksperter i tillegg nettverkssegmentering slik at IoT-enheter holdes atskilt fra kritisk forretningsinfrastruktur. En kompromittert smart kaffemaskin b\u00f8r ikke ha nettverkstilgang til selskapets regnskapssystem eller Active Directory-milj\u00f8et.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"eu-lovgivning-nis2-og-cyber-resilience-act\">EU-lovgivning: NIS2 og Cyber Resilience Act<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Asocks-saken kommer p\u00e5 et tidspunkt der EUs to viktigste cybersikkerhetsregelverker er under implementering i hele Europa, inkludert i Norge gjennom E\u00d8S-tilpasning.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">NIS2-direktivet, som i Norge implementeres gjennom den nye digitalsikkerhetsloven, p\u00e5legger virksomheter i kritiske sektorer strengere krav til risikobehandling, hendelsesrapportering og leverand\u00f8rsikkerhet. Botnet som Asocks er nettopp den type infrastruktur NIS2 s\u00f8ker \u00e5 gj\u00f8re det vanskeligere \u00e5 bygge og operere, ved \u00e5 kreve at alle relevante akt\u00f8rer implementerer grunnleggende sikkerhetshygiene og rapporterer hendelser innen 24 timer.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Cyber Resilience Act (CRA), som trer i kraft i EU fra 2027, stiller direkte krav til produsenter av tilkoblede produkter. Routere, smarte kameraer og IoT-enheter vil m\u00e5tte oppfylle minimumssikkerhetskrav, inkludert forbud mot standardpassord og krav om regelmessige sikkerhetsoppdateringer. Analyster ansl\u00e5r at andelen s\u00e5rbare IoT-enheter vil falle med 40 til 60 prosent innen 2030 som direkte f\u00f8lge av CRA-krav, noe som vil t\u00f8rke opp en vesentlig del av rekrutteringsgrunnlaget for botnet som Asocks.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">NSM i Norge har i sine sikkerhetsfaglige r\u00e5d for 2026 spesifikt fremhevet risikoen fra kompromitterte nettverksenheter og oppmuntret norske organisasjoner til \u00e5 implementere null-tillit-arkitektur og sterkere segmentering. Asocks-saken gir disse r\u00e5dene konkret og presserende kontekst.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"5-spadommer-om-residensielle-proxy-botnet-fremover\">5 sp\u00e5dommer om residensielle proxy-botnet fremover<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Basert p\u00e5 tilgjengelige data og ekspertanalyser gir Asocks-saken grunn til f\u00f8lgende vurderinger om den n\u00e6re fremtiden:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Asocks gjenoppst\u00e5r med ny infrastruktur.<\/strong> Historiske presedenser fra Emotet, Qakbot og Trickbot viser at botnet-operat\u00f8rene typisk er tilbake innen m\u00e5neder med servere i jurisdiksjoner utenfor EUs rekkevidde. De 17 millioner infiserte enhetene venter p\u00e5 ny rekruttering, og det kommersielle grunnlaget for tjenesten er intakt.<\/li>\n<li><strong>Copycat-tjenester fyller tomrommet raskt.<\/strong> Asocks-nedtakingen fjerner ett tilbud i et marked med vedvarende kriminell ettersp\u00f8rsel. Konkurrenter vil fors\u00f8ke \u00e5 kapre kundebasen. Residensielle proxy-tjenester er en vekstbransje i det kriminelle undergrunns\u00f8konomien.<\/li>\n<li><strong>Android-apper forblir en kritisk angrepsvektor.<\/strong> PROXYLIB-kampanjens suksess med \u00e5 infiltrere legitime apper viser at appbutikker ikke kan garantere sikkerhet mot sofistikerte proxy-biblioteker. Forvent nye varianter rettet mot iOS og andre plattformer, med mer avanserte teknikker for \u00e5 unng\u00e5 oppdagelse.<\/li>\n<li><strong>Europeiske myndigheter intensiverer koordinerte botnet-aksjoner.<\/strong> Asocks-nedtakingen f\u00f8lger et m\u00f8nster av \u00f8kt europeisk samarbeid mot kriminell nettinfrastruktur. Europol og Eurojust er involvert i stadig flere slike operasjoner, og presset fra NIS2-implementeringen gir ytterligere politisk impuls for hyppigere aksjoner.<\/li>\n<li><strong>CRA-implementeringen vil redusere fremtidig IoT-infeksjon merkbart.<\/strong> N\u00e5r Cyber Resilience Act er fullt h\u00e5ndhevet, vil produsenter av routere og IoT-enheter m\u00f8te juridisk ansvar for grunnleggende sikkerhetsfeil som standardpassord og manglende patchsupport. Effekten vil ikke komme over natten, men innen 2030 b\u00f8r den kriminelle proxy-bransjen finne det vesentlig vanskeligere \u00e5 rekruttere nye enheter i Europa.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"slik-sjekker-og-sikrer-du-enheten-din-na\">Slik sjekker og sikrer du enheten din n\u00e5<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Det finnes ingen enkel m\u00e5te for vanlige brukere \u00e5 bekrefte om en bestemt enhet var del av Asocks-nettverket, men det finnes konkrete steg som fjerner skadelig programvare eller drastisk reduserer risikoen for fremtidig kompromittering.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"for-hjemmeroutere-og-iot-enheter\">For hjemmeroutere og IoT-enheter<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Fabrikkinnstilling (factory reset) av routeren fjerner all skadelig programvare som er installert i vanlig lagring. Etter reset: oppdater firmware til siste versjon, endre standardpassord til et unikt passord p\u00e5 minst 16 tegn, deaktiver fjernadministrasjon (remote management) om du ikke trenger det, og aktiver automatiske firmwareoppdateringer der det er tilgjengelig. Routere som har n\u00e5dd end-of-life og ikke lenger mottar sikkerhetsoppdateringer b\u00f8r byttes ut. En router fra 2017 uten aktiv oppdateringsst\u00f8tte er en latent sikkerhetsrisiko.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"for-android-enheter\">For Android-enheter<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Gjennomg\u00e5 installerte apper og fjern alle du ikke aktivt bruker. Se spesielt etter apper lastet ned fra ukjente kilder eller tredjepartsbutikker. Sjekk tillatelsene til alle apper: en enkel verkt\u00f8yapp som ber om full nettverkstilgang og bakgrunnsaktivitet uten \u00e5penbar grunn, er et r\u00f8dt flagg. Kj\u00f8r en gjennomgang med Googles Play Protect, hold Android oppdatert med de nyeste sikkerhetsoppdateringene, og vurder \u00e5 tilbakestille enheten til fabrikkinnstillinger om du har installert apper fra ukjente kilder.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"relatert-dekning\">Relatert dekning<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">For mer kontekst om trusselbildet mot Norge og Norden:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"\/no\/norden-166-cyberhendelser-2026\/\">Norden: 166 cyberhendelser, 52% skyver ansvaret [2026]<\/a><\/li>\n<li><a href=\"\/no\/ai-phishing-norden-14x-surge-2026\/\">AI-phishing i Norden: 14x \u00f8kning, 44% av alle angrep [2026]<\/a><\/li>\n<li><a href=\"\/no\/nettsvindel-norge-1-2-mrd-2026\/\">Nettsvindel i Norge: 1,2 mrd tapt i 2024 [2026]<\/a><\/li>\n<li><a href=\"\/no\/salt-typhoon-norge-pst-2026\/\">Salt Typhoon i Norge: PST bekrefter Kina-angrep [2026]<\/a><\/li>\n<li><a href=\"\/no\/cyberangrep-norge-ai-trussel-2026\/\">Cyberangrep Norge: AI-Trussel, 21 Angrep [2026]<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"ofte-stilte-sporsmal-om-asocks-botnettet\">Ofte stilte sp\u00f8rsm\u00e5l om Asocks-botnettet<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hva-er-et-residensielt-proxy-botnet\">Hva er et residensielt proxy-botnet?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Et residensielt proxy-botnet er et nettverk av kompromitterte forbrukerenheter, for eksempel hjemmeroutere, smarttelefoner og IoT-enheter, som kriminelle bruker til \u00e5 rute internetttrafikk gjennom. Fordi trafikken ser ut til \u00e5 komme fra vanlige hjemme-IP-adresser, er den langt vanskeligere \u00e5 oppdage og blokkere enn trafikk fra kjente ondsinnede servere.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"var-norske-enheter-del-av-asocks-botnettets-17-millioner\">Var norske enheter del av Asocks-botnettets 17 millioner?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Nederlandske myndigheter bekreftet at de 17 millioner infiserte enhetene var spredt over 163 land. Norge er ikke eksplisitt nevnt i offisielle uttalelser, men med Nordens h\u00f8ye internettdekning og utbredte IoT-bruk er det statistisk sannsynlig at norske enheter var inkludert. Det foreligger ingen offentlig liste over ber\u00f8rte land eller spesifikke enheter.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hva-skjedde-med-de-17-millioner-infiserte-enhetene-etter-nedtakingen\">Hva skjedde med de 17 millioner infiserte enhetene etter nedtakingen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Nedtakingen fjernet Asocks&#8217; kontrollservere, men ikke skadelig programvare fra de infiserte enhetene. Alle 17 millioner enheter forblir infisert og er potensielt tilgjengelige for ny rekruttering. Eiere av ber\u00f8rte enheter m\u00e5 selv ta grep, blant annet ved \u00e5 tilbakestille routere til fabrikkinnstillinger, oppdatere firmware og endre passord.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hva-er-proxylib-kampanjen\">Hva er PROXYLIB-kampanjen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">PROXYLIB er et ondsinnet kodebibliotek identifisert av HUMAN Security i april 2024. Det ble innebygd i legitime Android-apper gjennom monetiseringsverkt\u00f8yet LumiApps og registrerte brukernes enheter i Asocks proxy-nettverk uten deres viten. Til sammen 28 apper med opptil 190.000 ber\u00f8rte enheter ble funnet. Etter Asocks-nedtakingen er disse enhetene fortsatt infisert og s\u00e5rbare for ny rekruttering.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hvem-stod-bak-asocks-og-ble-noen-arrestert\">Hvem stod bak Asocks og ble noen arrestert?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Nederlandske myndigheter navnga ikke Asocks offisielt, men nederlandske medier knyttet nedtakingen til selskapet, som er basert i Russland og tilbyr residential proxy-tjenester. Per juni 2026 er det ikke rapportert om arrestasjoner i forbindelse med Asocks-aksjonen. Serverene ble beslaglagt, men operat\u00f8rene er ikke identifisert offentlig.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hva-er-forskjellen-mellom-asocks-og-5socks-anyproxy\">Hva er forskjellen mellom Asocks og 5socks\/Anyproxy?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">5socks og Anyproxy opererte i over 20 \u00e5r og genererte 46 millioner dollar ved \u00e5 selge tilgang til hackede end-of-life hjemmeroutere. Fire utenlandske statsborgere ble tiltalt av FBI i 2025. Asocks er st\u00f8rre i skala med 17 millioner enheter p\u00e5 tvers av 163 land og brukte mer sofistikerte infeksjonsvektorer, inkludert injeksjon via legitime Android-apper. Begge illustrerer hvordan kriminelle kommersielt utnytter hverdagsenheter som inntektsbringende infrastruktur.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hva-bor-norske-bedrifter-gjore-som-respons\">Hva b\u00f8r norske bedrifter gj\u00f8re som respons?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Norske bedrifter b\u00f8r vurdere tre umiddelbare tiltak: (1) Gjennomg\u00e5 alle nettverksenheter, inkludert routere og IoT-utstyr, og sikre at de kj\u00f8rer oppdatert firmware og har unike passord. (2) Segmenter nettverket slik at IoT-enheter og hjemmearbeid-VPN-er ikke har direkte tilgang til kritiske systemer. (3) Revurder IP-baserte sikkerhetskontroller som eneste forsvarslinje mot phishing og DDoS, da residensielle proxy-botnet effektivt omg\u00e5r IP-blokklister.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Den 28. mai 2026 gjennomf\u00f8rte nederlandsk politi og Nasjonal sikkerhets- og krisereduksjonssenter (NCSC-NL) en av de st\u00f8rste botnet-nedtakingene i historien. Politiet beslagla over 200 kommando- og kontrollservere fra en nederlandsk\u2026<\/p>\n","protected":false},"author":4,"featured_media":122,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-121","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/posts\/121","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/comments?post=121"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/posts\/121\/revisions"}],"predecessor-version":[{"id":123,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/posts\/121\/revisions\/123"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/media\/122"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/media?parent=121"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/categories?post=121"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/no\/wp-json\/wp\/v2\/tags?post=121"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}