Hollandsk politi har taget nede i denne uge en skudsikker udbyder, der har beskyttet snesevis af IoT-botnet, der har været ansvarlig for hundreder af tusinder af DDoS-angreb rundt omkring i verden, ZDNet har lært.
Servere blev konfiskeret, og de to mænd blev anholdt i går på kontorer i KV-Løsninger BV (KV i det følgende benævnt”), en såkaldt skudsikre hosting provider, en term, der anvendes til at beskrive web-hosting-udbydere, der ignorerer rapporter om misbrug og tillade, at it-kriminalitet operationer til at operere på deres servere.
For to år, virksomheden har leveret hosting, infrastruktur til it-kriminelle, og har været en af de mest alvorlige gerningsmanden i at huse alle slags badies, fra phishing-sider til sårbarhed over scannere, og fra crypto-minedrift for at malware repositories.
Men frem for alt, har virksomheden gjort et ry i cyber-sikkerhed kredse for at være et hotspot for DDoS botnets, med cyber-kriminelle leje KV-servere til at være vært for deres bot scannere, malware, og kommando-og-kontrol (C&C) – servere, vel vidende, at de ville være i sikkerhed fra “skade.”
KV hosted alle former for botnets
Alene i år, KV vært for titusinder af disse DDoS botnets, hvoraf de fleste har været samlet i denne Twitter mega-tråd ved at threat intelligence firmaet Bad Pakker, LLC.
Du vil finde en masse for 185.244.25.0/24 hvis man kunne gøre dette. 13,618 rapporter for denne netblock på @AbuseIPDB: https://t.co/Wz7yi31cEC https://t.co/8C4W1RAZvy
— Dårlig Pakker Rapport (@bad_packets) 7 januar 2019
Botnets er blevet skabt ved hjælp af såkaldte “tingenes internet malware,” der er malware designet til at inficere Linux-baserede operativsystemer, der kører på routere og andre “intelligente” (Internet of Things) enheder.
I et interview med ZDNet, Bad Pakker sagde botnets, der opererer fra KV ‘ s infrastruktur var blevet observeret i de seneste år scanning af internettet, og søger at inficere en lang række enheder, såsom:
ASUS routersAVTECH IoT devicesGPON routersFritz!Max routersHuawei routersJAWS web-servere (generisk Ti), MikroTik routersNetgear routersZTE kabel-modemmer
Mens det store flertal af DDoS-botnet, der opererer på KV ‘ s infrastruktur var blevet set der kører en version af Mirai IoT malware, hosting firma har også næret et botnet, der er bygget med alle mulige andre IoT malware, der omfatter næsten alle IoT-malware-varianter ses i det forløbne år:
FbotGafgytHakaiHandymannyMiraiMoobottsunamiyowai
Langt de fleste af disse botnets blev drevet af “script kiddies” eller “skidz”, et begreb der betød, at latterliggøre talentløse hackere, der bruger ready-made eller automatiserede værktøjer til at opbygge botnets.
Men nogle var også drives af nogle af nutidens mest dygtige hackere. For eksempel, Subby, en berygtet IoT malware koder og botnet-operatør, var kendt for at bruge KV-infrastruktur.
Hertil kommer, at nogle af disse botnets nåede også til store størrelser, der tegner sig for titusinder af inficerede enheder, og i sidste ende trække opmærksomhed af cyber-sikkerhed i virksomheder, navnlig Trend Micro og Qihoo 360 s Netlab, som har brugt tid og ressourcer på at grave sig ind i deres operationer.
KV hosted DDoS booter service
Desuden KV også serveres som en hosting-udbyder for nogle botnets, som var en del af DDoS-for-hire (DDoS booter) tjenester, der ifølge Troy Mursch, medstifter af Dårlig Pakker.
“Vi har været overvågning af ondsindet aktivitet, der stammer fra deres netværk i et år nu,” Mursch fortalte ZDNet i et interview i dag.
“Langt størstedelen af malware prøver hosted af dem blev brugt i DDoS-angreb. Dette går hånd-i-hånd med dem hosting-botnet-command-and-control (C2) – servere, så godt. Det var en one-stop-shop for DDoS – /booter tjenester,” Mursch tilføjet.
Alt i alt, Mursch sagde, at “i 2019, Bad Pakker opdaget 440,261 udnytte forsøg, der stammer fra og/eller henvisninger malware nyttelast hosted af KV-Løsninger.”
Ofre for DDoS-angreb, der stammer fra KV-vært botnets omfatter Ubisoft, Wish.com og om alle de store cloud-og web-hosting-udbyder, du kan navn, som AWS, Microsoft Azure, OVH, AT&T, Comcast, Cox -, Charter -, og China Unicom, bare for at nævne et par stykker.
KV aldrig grebet ind over for dårlige kunder
Men denne høje koncentration af DDoS ildkraft på infrastrukturen i en enkelt virksomhed ikke kunne have gået ubemærket hen for evigt.
Flere sikkerhedseksperter og kilder i web hosting fællesskabet har fortalt ZDNet, at selskabet “havde det, der kommer.”
KV administratorer sarkastisk ignorerede rapporter om misbrug fra alle og gjort det muligt for deres kunder at løbe løbsk.
Klager til hollandske myndigheder begyndte at komme i sidste år, og mange andre web-hosting-udbydere og sikkerhed forskere har fået mundkurv på lydløs hele dette år, som den hollandske cyber-politi langsomt samlet de beviser, de havde brug for at tage ned virksomheden.
To anholdt
Hollandsk politi endelig trådte ind og ransagede virksomhedens kontorer i går, tirsdag, oktober 1, ved om den tid, virksomheden lagt en besked på sin Facebook-side, annoncerer “en fejl”, en kodet besked til kunder for at tørre deres servere.
Hollandske myndigheder har gjort en raid-i dag, i en pressemeddelelse, som også er nævnt anholdelser af to mistænkte, en 24-årig fra Veendam, og en 28-årig fra Middelburg.
De to — Marco B., 24, fra Veendam, og Angelo K., 28, fra Middelburg — menes at være grundlæggerne af et netværk af fem indbyrdes forbundne virksomheder. Hollandsk lovgivning om privatlivets fred gør det ikke muligt at afsløre en mistanke om fulde navn, så vi accepterede dette krav til vores rapportering.
Marco B. og Angelo K. der er noteret som ejere af to web-hosting virksomheder, nemlig KV-Løsninger BV og Lifehosting BV, men også tre IT-virksomheder, Bos DET Holding BV, Kreikamp DET Holding BV, og KBIT Holding BV, som alle har at kontrollere rettigheder i hinanden, i henhold til offentlig information fra Dutch Chamber of Commerce.
Alle de websites og domæner af de fem selskaber, der er anført ovenfor, er nu nede. Telefon opkald til et telefonnummer, der er anført på cachede versioner af disse websteder ikke blev besvaret.
Mens den hollandske politi erklæring, der er offentliggjort i dag kun nævner “hosting af IoT-botnet,” KV ‘ s infrastruktur hostet en masse andre malware så godt. KV ‘ s offentlige IP-blok var 185.244.25.0/24. Enhver malware operation, der havde servere på denne adresse plads, så nogle uheldige nedetid i dag.
Som det skete i andre angreb af skudsikre hosting-udbydere, data fra de beslaglagte servere vil højst sandsynligt føre til, at andre anholdelser, sådan som botnet operatører og malware forfattere.
Sikkerhed
Linux for at få kernen ‘lockdown’ funktion
Googles krig mod deepfakes: Som valget væve, det deler væld af AI-forfalsket videoer
De fleste malspam indeholder en skadelig URL-adresse i disse dage, ikke vedhæftede filer
Ransomware: Hvorfor betale en løsesum er en dårlig idé for alle i det lange løb (ZDNet YouTube)
Bedste sikkerhed i hjemmet af 2019: Professionel overvågning og DIY (CNET)
De fleste Fortune 500 selskaber stadig uigennemsigtige om sikkerhedsforanstaltninger (TechRepublic)
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre