Endnu en leverandør af ‘bulletproof serverhosting’ lukket af politiet

Illustration: vmargineanu | Bigstock
Har efter sigende bidraget til massive botnet.

‘Bulletproof hosting’ er et udtryk, som bruges om hostingleverandører, der på ingen måde har noget imod, at kunderne bruger hostingleverandørens tjenester til kriminel virksomhed. Tværtimod bruges dette ofte aktivt i hostingleverandørens markedsføring.

Som vi skrev tidligere denne uge blev et datacenter i Tyskland lukket sidste fredag, fordi mange af kunderne efter sigende drev ulovlig virksomhed fra datacenteret, uden at hostingleverandøren ville gribe ind.

I går kunne det hollandske politi så fortælle, at det har beslaglagt fem servere i et datacenter i Amsterdam.

Disse blev brugt af en hollandsk hostingleverandør, som er mistænkt for at være blevet brugt til at kontrollere store botnet (C&C – ‘command and control’).

Arrestationer

To personer blev arresteret i sidste uge, mistænkt for blandt andet data breach og spredning af malware.

Politiet har ikke oplyst navnet på hverken selskabet eller de arresterede personer. Det har derimod ZDNet. Selskabet hedder KV Solutions BV. Det har adresse i byen Middelburg, og de to arresterede er opført som ejere af både KV Solutions, selskabet Lifehosting BV samt tre holdingselskaber, som alle har ejerskab i hinanden.

Ifølge ZDNet har KV Solutions et ry inden for it-sikkerhedskredse, der lyder på, om, at de er et ‘hotspot’ for botnetbaserede DDoS-angreb.

KV Solutions’ website fungerer ikke længere, og på Facebook skrev selskabet i går, at det oplever en fejl, som de håber at rette så hurtigt som muligt.

Mirai-botnet

Ifølge det hollandske politi er de fem servere blevet brugt til at kontrollere en version af Mirai-botnettet.

Dette botnet bestod efter sigende af inficerede IoT-enheder. Typiske enheder i sådanne net er usikrede IP-kameraer, men potentielt kan enhver sårbar enhed være en zombie i et sådant net.

Nu da C&C-serverne er lukkede, kan disse enheder ikke længere kontrolleres. Formentlig vil de så holde op med at inficere andre enheder og heller ikke kunne bruges til anden ulovlig virksomhed, såsom DDoS-angreb, før de eventuelt inficeres af anden malware.

Det er foreløbig ikke klart, hvilke DDoS-angreb der kan tilskrives dette botnet.

Mange rapporter

Ifølge det hollandske politi er der i løbet af et år blevet modtaget mere end 3.000 rapporter om malware, som er blevet distribueret fra denne hostingleverandør.

Efterforskningen har vist, at botnettet har været meget aggressivt i sit forsøg på at inficere andre enheder. På én bestemt enhed er der blevet registreret mere end én million sådanne forsøg per måned.

Ifølge ZDNet er det Mirai-baserede botnet på ingen måde det eneste, som er blevet knyttet til KV Solutions. Også botnet baseret på andre malwareprogrammer er blevet knyttet til datacenteret.

En oversigt over mange af rapporterne om misbrug knyttet til KV Solutions’ IP-adresseområde kan findes her.

Det er uklart, om de to ejere af KV Solutions faktisk har været delagtige i etableringen af selve botnettene, men formentlig kan politiet bevise, at de har kendt til denne virksomhed. De kan meget dårligt have overset mængden af varsler om sådan en aktivitet.

Beslaglæggelsen af serverne kan potentielt gøre det muligt for justitsmyndighedene i Holland og andre lande at finde ud af, hvem der har stået bag den kriminelle aktivitet. Det kan føre til nye arrestationer.

Mulig sammenhæng

Det vides ikke, om der er nogen sammenhæng mellem denne politiaktion og den, som foregik mod Cyberbunker i Tyskland i forrige uge, men der er flere faktorer, som kan pege i den retning.

Den ene er, at det er sjældent, at politiaktionerne er rettet mod selve hostingleverandørerne. Ellers er det altid stort set kun de kriminelle kunder, politiet har været optaget af. Nu har der været aktioner direkte rettet mod to europæiske hostingleverandører på under en uge.

En anden faktor er, at en betydelig andel af personerne, som er blevet knyttet til det tyske datacenter, er hollændere. Dette inkluderer den formodede 59-årige hovedperson.

Der er også meget, som tyder på, at det tyske datacenter, som kaldes for CyberBunker, har forbindelser til et tidligere datacenter i Holland med samme navn.

Råd til ejere af IoT-enheder

Det hollandske politi skriver i pressemeddelelsen, at malware i IoT-enheder ofte kun er lagret i enhedernes hukommelse og dermed forsvinder, hvis enhederne genstartes.

Dette gør ikke enhederne mindre sårbare over for at blive inficeret igen. Alle, som har sådanne enheder, bør sørge for, at det ikke er standardpasswordet på enhederne, som bruges. Det bør tjekkes jævnligt, om der er kommet sikkerhedsopdateringer.

Disse bør installeres så hurtigt som muligt.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere