Bulletproof-Hoster: Immer noch Traffic zu den Cyberbunker-IPs

Nach der Beschlagnahme des Cyberbunkers konnten zwei Forscher den verbleibenden Traffic zum ehemaligen Bulletproof-Hoster analysieren.

Artikel veröffentlicht am ,
Immer noch viel Traffic zum Bunker. (Symbolbild)
Immer noch viel Traffic zum Bunker. (Symbolbild) (Bild: fsHH/Pixabay)

Rund ein halbes Jahr nachdem der Bulletproof-Hoster Cyberbunker nach einer Razzia Geschichte ist und die Server beschlagnahmt wurden, gibt es immer noch etliche Zugriffsversuche auf die verwendeten IP-Adressen. Die Sicherheitsforscher Karim Lalji und Johannes Ullrich der US-Forschungseinrichtung Internet Storm Center (ISC) konnten den verbleibenden Traffic analysieren.

Stellenmarkt
  1. Business Analystin / Business Analyst Reporting (m/w/d)
    GKV-Spitzenverband, Berlin
  2. Solution Specialist (m/w/d)
    thinkproject Deutschland GmbH, München
Detailsuche

Laut den Sicherheitsforschern wurde der IP-Adressraum des Cyberbunkers an die niederländische Firma Legaco verkauft, um die Prozesskosten der mutmaßlichen Betreiber des Bulletproof-Hosters zu finanzieren. Diese habe sich bereiterklärt, den IP-Adressraum (185.103.72.0/22, 185.35.136.0/22 und 91.209.12.0/24) beginnend am 15. April für zwei Wochen auf einen Honeypot der beiden Forscher weiterzuleiten. Lalji und Ullrich analysierten die Zugriffsversuche auf die rund 2.300 IP-Adressen und konnten so Informationen zu verbleibenden kriminellen Aktivitäten sammeln, die sie nun veröffentlichten.

Anfragen an Botnetzwerke, Phishing-Seiten und ein zwielichtiges Werbenetzwerk

Die verbleibenden Zugriffe auf den IP-Adressraum des Cyberbunkers stammten zum größten Teil aus Brasilien, aber auch aus Europa, dem Iran und Mexiko. Insgesamt sei ein Traffic von etwa 2 MBit pro Sekunde angefallen. Bei den meisten Zugriffsversuchen habe es sich um IRC-Anfragen (Internet Relay Chat) eines Botnetzwerkes gehandelt, die sich jedoch zur Tarnung oder um Firewall-Regeln zu umgehen mit dem HTTP-Port 80 verbunden hätten, erklären die Forscher.

Auf diese Weise hätten sich nahezu 7.000 IP-Adressen mit einem ähnlichen Anfragemuster an einen potenziellen Command-and-Control-Server eines Botnetzwerkes im ehemaligen Cyberbunker gewandt. Zudem konnten die beiden Forscher Hinweise auf das Kryptomining- und DDoS-Botnetzwerk Beta Bot sowie das Rootkit Gaudox entdecken.

Bei einer Recherche sind ihnen insgesamt 55 Phishing-Domains aufgefallen, die auf eine IP-Adresse im Adressraum des Cyberbunkers verwiesen. Insbesondere die Subdomain apple-serviceauthentication.com.juetagsdeas[.]org erhielt noch einige Zugriffsversuche. Weitere Beispiele für Phishing-Domains, die im Cyberbunker gehostet waren, sind laut den Forschern bank66[.]com, r0yalbankrbc[.]com und [zufällige Subdomain].paypall-password[.]com

Auch Banneranfragen für das Werbenetzwerk getmyad[.]com konnten von dem Honeypot der beiden Forscher abgefangen werden. Bei den Anfragen seien Zeichenketten übermittelt worden, aus denen sich die Domains oder Inhalte der Anfragen ergeben hätten, erklären die beiden. Demnach habe das Werbenetzwerk vor allem pornografische, aber auch kriminelle Inhalte bis hin zu Material, das auf den sexuellen Missbrauch von Kindern hindeutet, ausgespielt. Laut dem Webarchive war Getmyads vor allem zwischen 2016 und 2018 aktiv. Die letzte archivierte Version der Webseite weist auf die Beschlagnahme des Cyberbunkers hin.

Anklage gegen mutmaßliche Betreiber des Cyberbunkers erhoben

Im April wurden die mutmaßlichen Betreiber des Cyberbunkers angeklagt, obwohl die Auswertung der 403 beschlagnahmten Server andauert. Aus Gründen der Verfahrensbeschleunigung wurde die Anklage auf sieben Taten beschränkt, teilte die Generalstaatsanwaltschaft Koblenz mit. Im Mai wurde nach Recherchen des Spiegel und des NDR bekannt, dass die Betreiber Server an Rechtsextreme vermietet hatten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Glasfaser
Berliner Senat blamiert sich mit Gigabitstrategie

Der Berliner Senat ist nach Jahren aus dem Dämmerzustand hochgeschreckt und hat nun eine Gigabitstrategie. Warum haben sie nicht einfach geschwiegen?
Ein IMHO von Achim Sawall

Glasfaser: Berliner Senat blamiert sich mit Gigabitstrategie
Artikel
  1. Selbständige: Vodafone mit neuen Tarifen ohne Preissteigerung
    Selbständige
    Vodafone mit neuen Tarifen ohne Preissteigerung

    Vodafone wird seine Preise in neuen Tarifen für Selbständige nach 24 Monaten nicht mehr anheben.

  2. Gorillas-Chef: Entlassungen sind im Interesse der Community
    Gorillas-Chef
    Entlassungen sind "im Interesse der Community"

    Der Chef des Gorillas-Lieferdienstes rechtfertigt die Kündigung eines Arbeiters. Eine Fahrerin mit blauen Flecken am Rücken bewertet das anders.

  3. Coronapandemie: Einige Microsoft-Admins schliefen direkt in Rechenzentren
    Coronapandemie
    Einige Microsoft-Admins schliefen direkt in Rechenzentren

    Um weite Arbeitswege und Verspätungen zu vermeiden, hatten es sich einige Microsoft-Mitarbeiter in den eigenen Rechenzentren bequem gemacht.

Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense 59,99€ • Battlefield 2042 PC 53,99€ • XXL Sale bei Alternate • Rainbow Six Extraction Limited PS5 69,99€ • Sony Pulse 3D-Headset PS5 99,99€ • Snakebyte Gaming Seat Evo 149,99€ • Bethesda E3 Promo bei GP [Werbung]
    •  /