Bulletproof-Hoster: Immer noch Traffic zu den Cyberbunker-IPs

Nach der Beschlagnahme des Cyberbunkers konnten zwei Forscher den verbleibenden Traffic zum ehemaligen Bulletproof-Hoster analysieren.

Artikel veröffentlicht am ,
Immer noch viel Traffic zum Bunker. (Symbolbild)
Immer noch viel Traffic zum Bunker. (Symbolbild) (Bild: fsHH/Pixabay)

Rund ein halbes Jahr nachdem der Bulletproof-Hoster Cyberbunker nach einer Razzia Geschichte ist und die Server beschlagnahmt wurden, gibt es immer noch etliche Zugriffsversuche auf die verwendeten IP-Adressen. Die Sicherheitsforscher Karim Lalji und Johannes Ullrich der US-Forschungseinrichtung Internet Storm Center (ISC) konnten den verbleibenden Traffic analysieren.

Stellenmarkt
  1. Softwareentwickler (m/w/d) Robotik
    J. Schmalz GmbH, Glatten
  2. Systemarchitekt (m/w/d) Leistungselektronik / elektrische Antriebe
    Schaeffler Technologies AG & Co. KG, Herzogenaurach
Detailsuche

Laut den Sicherheitsforschern wurde der IP-Adressraum des Cyberbunkers an die niederländische Firma Legaco verkauft, um die Prozesskosten der mutmaßlichen Betreiber des Bulletproof-Hosters zu finanzieren. Diese habe sich bereiterklärt, den IP-Adressraum (185.103.72.0/22, 185.35.136.0/22 und 91.209.12.0/24) beginnend am 15. April für zwei Wochen auf einen Honeypot der beiden Forscher weiterzuleiten. Lalji und Ullrich analysierten die Zugriffsversuche auf die rund 2.300 IP-Adressen und konnten so Informationen zu verbleibenden kriminellen Aktivitäten sammeln, die sie nun veröffentlichten.

Anfragen an Botnetzwerke, Phishing-Seiten und ein zwielichtiges Werbenetzwerk

Die verbleibenden Zugriffe auf den IP-Adressraum des Cyberbunkers stammten zum größten Teil aus Brasilien, aber auch aus Europa, dem Iran und Mexiko. Insgesamt sei ein Traffic von etwa 2 MBit pro Sekunde angefallen. Bei den meisten Zugriffsversuchen habe es sich um IRC-Anfragen (Internet Relay Chat) eines Botnetzwerkes gehandelt, die sich jedoch zur Tarnung oder um Firewall-Regeln zu umgehen mit dem HTTP-Port 80 verbunden hätten, erklären die Forscher.

Auf diese Weise hätten sich nahezu 7.000 IP-Adressen mit einem ähnlichen Anfragemuster an einen potenziellen Command-and-Control-Server eines Botnetzwerkes im ehemaligen Cyberbunker gewandt. Zudem konnten die beiden Forscher Hinweise auf das Kryptomining- und DDoS-Botnetzwerk Beta Bot sowie das Rootkit Gaudox entdecken.

Golem Akademie
  1. Apache Kafka Grundlagen: virtueller Zwei-Tage-Workshop
    21.–22. März 2022, Virtuell
  2. Cloud Transformation Roadmap: Strategien, Roadmap, Governance: virtueller Zwei-Tage-Workshop
    7.–8. März 2022, Virtuell
Weitere IT-Trainings

Bei einer Recherche sind ihnen insgesamt 55 Phishing-Domains aufgefallen, die auf eine IP-Adresse im Adressraum des Cyberbunkers verwiesen. Insbesondere die Subdomain apple-serviceauthentication.com.juetagsdeas[.]org erhielt noch einige Zugriffsversuche. Weitere Beispiele für Phishing-Domains, die im Cyberbunker gehostet waren, sind laut den Forschern bank66[.]com, r0yalbankrbc[.]com und [zufällige Subdomain].paypall-password[.]com

Auch Banneranfragen für das Werbenetzwerk getmyad[.]com konnten von dem Honeypot der beiden Forscher abgefangen werden. Bei den Anfragen seien Zeichenketten übermittelt worden, aus denen sich die Domains oder Inhalte der Anfragen ergeben hätten, erklären die beiden. Demnach habe das Werbenetzwerk vor allem pornografische, aber auch kriminelle Inhalte bis hin zu Material, das auf den sexuellen Missbrauch von Kindern hindeutet, ausgespielt. Laut dem Webarchive war Getmyads vor allem zwischen 2016 und 2018 aktiv. Die letzte archivierte Version der Webseite weist auf die Beschlagnahme des Cyberbunkers hin.

Anklage gegen mutmaßliche Betreiber des Cyberbunkers erhoben

Im April wurden die mutmaßlichen Betreiber des Cyberbunkers angeklagt, obwohl die Auswertung der 403 beschlagnahmten Server andauert. Aus Gründen der Verfahrensbeschleunigung wurde die Anklage auf sieben Taten beschränkt, teilte die Generalstaatsanwaltschaft Koblenz mit. Im Mai wurde nach Recherchen des Spiegel und des NDR bekannt, dass die Betreiber Server an Rechtsextreme vermietet hatten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Microsoft
Sony äußert sich zur Übernahme von Activision Blizzard

Rund 20 Milliarden US-Dollar haben die Aktien von Sony verloren. Nun hat der Konzern erstmals den Kauf von Activision Blizzard kommentiert.

Microsoft: Sony äußert sich zur Übernahme von Activision Blizzard
Artikel
  1. Parallel Systems: Ehemalige SpaceX-Mitarbeiter entwickeln neuartige Güterzüge
    Parallel Systems
    Ehemalige SpaceX-Mitarbeiter entwickeln neuartige Güterzüge

    Das Startup Parallel Systems will konventionelle Züge durch modulare Fahrzeuge mit eigenem Antrieb und Energieversorgung ersetzen.

  2. Digitale-Dienste-Gesetz: Europaparlament will Nutzertracking stark einschränken
    Digitale-Dienste-Gesetz
    Europaparlament will Nutzertracking stark einschränken

    Das Europaparlament hat den Entwurf des Digitale-Dienste-Gesetzes verschärft. Ein Komplettverbot personalisierter Werbung soll es aber nicht geben.

  3. Jahresbilanz: Durch das Vodafone-Kabelnetz liefen 48 Exabyte
    Jahresbilanz
    Durch das Vodafone-Kabelnetz liefen 48 Exabyte

    Unser neues Leben spielt sich tagsüber bei Microsoft Teams ab. Dann verlagern sich die Datenströme in Richtung der Server von Netflix und Amazon.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED (2021) 40% günstiger (u.a. 65" 1.599€) • WD Black 1TB SSD 94,90€ • Lenovo Laptops (u.a. 17,3" RTX3080 1.599€) • Gigabyte Mainboard 299,82€ • RTX 3090 2.399€ • RTX 3060 Ti 799€ • MindStar (u.a. 32GB DDR5-6000 389€) • Alternate (u.a. Samsung LED TV 50" 549€) [Werbung]
    •  /