Holländska polisen har tagit ner denna vecka en skottsäker webbhotell som har skyddat tiotals IoT-botnät som har varit ansvarig för hundratals eller tusentals av DDoS-attacker runt om i världen, ZDNet har lärt sig.
Servrar beslagtogs, och två män greps i går på kontor KV Solutions BV (KV nedan), en så kallad bulletproof webbhotell är en term som används för att beskriva webbhotell att ignorera rapporter missbruk och låta it-relaterad brottslighet verksamheten att fungera på deras servrar.
För två år, har företaget hosting infrastruktur för internet-brottslingar, och har varit en av de mest allvarliga gärningsmannen på att ta emot alla typer av badies, från phishing-sidor till sårbarhet skannrar, och från crypto-gruvdrift till malware förråd.
Men framför allt har bolaget gjort ett rykte i it-säkerhet cirklar för att vara en hotspot för DDoS-botnät, med cyber-brottslingar hyra KV-servrar som värd för sin bot skannrar, malware, och command-and-control (C&C-servrar, i vetskap om att de skulle vara säkra från skada.”
KV värd alla typer av botnät
Detta år, KV värd tiotals av dessa DDoS-botnät, av vilka de flesta har sammanställts i detta Twitter-mega-tråd genom hot intelligence företaget Dåliga Paket LLC.
Skulle du hitta en hel del för 185.244.25.0/24 om du kunde göra detta. 13,618 rapporter för detta netblock på @AbuseIPDB: https://t.co/Wz7yi31cEC https://t.co/8C4W1RAZvy
— Dålig Paket Rapport (@bad_packets) 7 januari, 2019
Botnät har skapats med hjälp av så kallade “sakernas internet malware”, som är skadlig kod som syftar till att infektera Linux-baserat operativsystem som körs på routrar och annan “smart” (Internet of Things) – enheter.
I en intervju med ZDNet, Dålig Paket sade botnät operativsystem från KV infrastruktur hade observerats under det senaste året skanna internet och funderar på att infektera ett brett utbud av enheter, till exempel:
ASUS routersAVTECH IoT devicesGPON routersFritz!Box routersHuawei routersJAWS webbservrar (generisk IoT)MikroTik routersNetgear routersZTE kabel-modem
Medan den stora majoriteten av DDoS-botnät som är verksamma på KV: s infrastruktur hade setts som kör en version av Mirai IoT malware, hosting företag har också hyste botnät byggt med alla möjliga andra IoT-malware, som omfattar nästan alla IoT-malware-varianter sett under det senaste året:
FbotGafgytHakaiHandymannyMiraiMoobottsunamiyowai
De allra flesta av dessa botnät drivs av “script kiddies” eller “skidz,” en term som innebar att förlöjliga talanglösa hackare som använder färdiga eller automatiserade verktyg för att bygga botnät.
Men några var också drivs av några av dagens mest begåvade hackarna. Till exempel, Subby, en ökänd IoT malware coder och botnät operatör, var känd för att använda KV infrastruktur.
Dessutom är vissa av dessa botnät också nått stora storlekar, redovisning för tiotusentals infekterade enheter, så småningom uppmärksamma cyber-bevakningsföretag, särskilt Trend Micro och Qihoo 360 Netlab, som tillbringade tid och resurser i att gräva i deras verksamhet.
KV värd DDoS booter tjänster
Dessutom, KV fungerade också som ett webbhotell för vissa botnät som var en del av DDoS-för-hyra (DDoS booter) tjänster, enligt Troy Mursch, en av grundarna av Dåligt Paket.
“Vi har varit övervakning skadlig verksamhet med ursprung från sitt nätverk i ett år nu,” Mursch berättade ZDNet i en intervju i dag.
“Den stora majoriteten av malware prover värd dem användes för DDoS-attacker. Detta går hand-i-hand med dem hosting botnät kommando-och-kontroll (C2) servrar. Det var en one-stop shop för DDoS/booter tjänster,” Mursch läggas till.
Allt som allt, Mursch sade att “i och med 2019, Dålig Paket upptäckts 440,261 utnyttja försök med ursprung från och/eller hänvisning malware nyttolaster värd KV Lösningar.”
Offer för DDoS-attacker som har sitt ursprung från KV-värd botnät har Ubisoft, Wish.com och om alla stora moln och webbhotell kan du namn, såsom AWS, Microsoft Azure, OVH, AT&T, Comcast, Cox, Charter och China Unicom, bara för att nämna några.
KV aldrig vidtog åtgärder mot dåliga kunder
Men denna höga koncentration av DDoS eldkraft på infrastrukturen för ett enda företag, kunde inte ha gått obemärkt förbi för alltid.
Flera säkerhetsforskare och källor i web hosting gemenskapen har sagt till ZDNet att företaget “hade det komma.”
KV administratörer sarkastiskt ignoreras missbruk rapporter från alla och får sina kunder att köra skenande.
Klagomål till nederländska myndigheterna började komma under förra året, och många andra webbhotell och säkerhet forskare har varit belagda med munkavle för att tysta hela året, som holländska it-polisen långsamt samlat de bevis som de behövde för att ta ner företaget.
Två greps
Holländska polisen klev in och plundrade bolagets kontor igår, tisdag, oktober 1, ungefär samtidigt som företaget publicerat ett meddelande på sin Facebook-sida, meddelar “fel”, ett kodat meddelande till kunderna om att torka sina servrar.
Nederländska myndigheterna raid allmänheten i dag, i ett pressmeddelande, som nämnts även gripit två misstänkta, en 24-åring från Veendam, och en 28-åring från Middelburg.
Två-Marco B., 24, från Veendam, och Angelo K., 28, från Middelburg — tros vara stiftare av ett nätverk av fem sammankopplade företag. Nederländska lagar tillåter inte att avslöja en misstänkt fullständiga namn, så vi hedrade detta krav för vår rapportering.
Marco B. och Angelo K. anges som ägare av två webbhotell företag, nämligen KV Solutions BV och Lifehosting BV, men också tre IT-företag, Bim DET Holding BV, Kreikamp DET Holding BV, och KBIT Holding BV, alla med kontrollerande inflytande i varandra, enligt offentliga uppgifter från den nederländska Handelskammaren.
Alla webbplatser och domäner av de fem företag som anges ovan är nu ner. Samtal till telefonnummer som anges på cachade versioner av dessa platser var inte besvarade.
Medan den nederländska polisens uttalande publicerades i dag bara nämner “hosting av sakernas internet i ett botnät,” KV infrastruktur värd en hel del andra skadliga program också. KV: s allmänna IP-block var 185.244.25.0/24. Eventuell skadlig kod operation som hade servrar i denna adressrymd såg några olyckliga driftstopp idag.
Som det hände i andra räder skottsäker webbhotell, data från beslagtagna servrar kommer sannolikt att leda till andra gripanden, såsom botnet operatörer och malware författare.
Säkerhet
Linux för att få kärnan ” fel ” – funktionen
Googles krig mot deepfakes: val vävstolar, det aktier massor av AI-fejkade videos
De flesta malspam innehåller en skadlig URL dessa dagar, inte bifogade filer
Ransomware: Varför betala lösen är en dålig idé för alla i det långa loppet (ZDNet YouTube)
Bästa home security av 2019: Professionell övervakning och DIY (CNET)
De flesta Fortune 500-företag fortfarande otydlig om säkerhetsåtgärder (TechRepublic)
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter