Bulletproof hosting

Enda en leverandør av «skuddsikker serverhosting» stengt av politiet

Skal ha bidratt til massive botnett.

Europeisk politi har på under en uke aksjoner mot to europeiske leverandører av såkalt skuddsikker hosting, nå sist i Nederland.
Europeisk politi har på under en uke aksjoner mot to europeiske leverandører av såkalt skuddsikker hosting, nå sist i Nederland. (Illustrasjonsfoto: Colourbox/Sergey Tryapitsyn)

Skal ha bidratt til massive botnett.

«Bulletproof hosting» er et uttrykk som brukes om hostingleverandører som på ingen måte bryr seg om at kundene bruker tjenestene til hostingleverandøren til kriminell virksomhet. Tvert imot brukes dette ofte aktivt i markedsføringen til hostingleverandøren. 

Som digi.no skrev tidligere denne uken, ble et datasenter i Tyskland stengt sist fredag fordi mange av kundene skal ha drevet med ulovlig virksomhet fra datasenteret, uten at hostingleverandøren ville gripe inn. 

I går kunngjorde nederlandsk politi at det har beslaglagt fem servere i et datasenter i Amsterdam. Disse ble brukt av en nederlandsk hostingleverandør som er mistenkt for å ha blitt brukt til å kontrollere store botnett (C&C – «command and control»).

Nettstedet til KV Solutions fungerer ikke lenger, og på Facebook skrev selskapet i går at det opplever en feil som de håper å rette så raskt som mulig.

Arrestasjoner

To personer ble arrestert på tirsdag denne uken, mistenkt for blant annet datainnbrudd og spredning av skadevare.

Politiet har ikke oppgitt navnet på verken selskapet eller de arresterte personene. Det gjør derimot ZDNet. Selskapet heter KV Solutions BV. Det har adresse i byen Middelburg, og de to arresterte er oppført som eiere av både KV Solutions, selskapet Lifehosting BV, samt tre holdingsselskaper som alle skal ha eierskap i hverandre.

Ifølge ZDNet skal KV Solutions ha hatt et rykte innen IT-sikkerhetskretser om å være en «hotspot» for botnettbaserte DDoS-angrep.

Mirai-botnett

Ifølge det nederlandske politiet har de fem serverne blitt brukt til å kontrollere en versjon av Mirai-botnettet. Dette botnettet skal ha bestått av infiserte IoT-enheter. Typiske enheter i slike nett er usikrede IP-kameraer, men potensielt kan enhver sårbar enhet være en zombie i et slikt nett.

Nå som C&C-serverne er stengt, kan ikke disse enhetene lenger kontrolleres. Trolig vil de da slutte å infisere andre enheter, og heller ikke kunne brukes til annen ulovlig virksomhet, slik som DDoS-angrep, før de eventuelt infiseres av annen skadevare. Det er foreløpig ikke klart hvilke DDoS-angrep som kan tilskrives dette botnettet. 

Mange rapporter

Ifølge det nederlandske politiet skal det i løpet av ett år ha blitt mottatt mer enn 3000 rapporter om skadevare som har blitt distribuert fra denne hostingleverandøren. Etterforskningen har vist at botnettet har vært veldig aggressivt i sitt forsøk på å infisere andre enheter. På én bestemt enhet har det blitt registrert mer enn én million slike forsøk per måned.

Ifølge ZDNet skal det Mirai-baserte botnettet på ingen måte være det eneste som har blitt knyttet til KV Solutions. Også botnett basert på andre skadevareprogrammer har blitt knyttet til datasenteret. En oversikt over mange av rapportene om misbruk knyttet til IP-adresseområdet til KV Solutions finnes her.

Les også

Det er uklart om to eierne av KV Solutions faktisk har vært delaktige i etableringen av selve botnettene, men trolig kan politiet bevise at de har visst om denne virksomheten. De kan vanskelig ha gått glipp av mengden av varsler om slik aktivitet. 

Beslaget av serverne kan potensielt gjøre det mulig for justismyndighetene i Nederland og andre land å finne ut hvem som har stått bak den kriminelle aktiviteten. Det kan føre til nye arrestasjoner. 

Mulig sammenheng

Det er ukjent om det er noen sammenheng mellom denne politiaksjonen og den som foregikk mot Cyberbunker i Tyskland i forrige uke, men det er enkelte faktorer som kan peke i den retning. 

Det ene er at det er sjelden at politiaksjonene er rettet mot selve hostingleverandørene. Stort sett er det bare de kriminelle kundene politiet har vært opptatt av. Nå har det blitt aksjonert direkte mot to europeiske hostingsleverandører på under en uke. 

En annen faktor er at en betydelig andel av personene som har blitt knyttet til det tyske datasenteret, er nederlendere. Dette inkluderer den antatte, 59 år gamle hovedpersonen. Det er også mye som tyder på at det tyske datasenteret, som kalles for CyberBunker, har forbindelser til et tidligere datasenter i Nederland med samme navn.

Råd til eiere av IoT-enheter

Det nederlandske politiet skriver i pressemeldingen at skadevare i IoT-enheter ofte kun er lagret i minnet på enhetene og dermed forsvinner dersom enhetene startes på nytt.

Dette gjør ikke enhetene noe mindre sårbare for å bli infisert på nytt. Alle som har slike enheter, bør sørge for at det ikke er standardpassordet på enhetene som er i bruk. Det bør sjekkes jevnlig om det har kommet sikkerhetsoppdateringer. Disse bør installeres så raskt som mulig.

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen