Bulletproof-Hoster: Immer noch Traffic zu den Cyberbunker-IPs

Nach der Beschlagnahme des Cyberbunkers konnten zwei Forscher den verbleibenden Traffic zum ehemaligen Bulletproof-Hoster analysieren.

Artikel veröffentlicht am ,
Immer noch viel Traffic zum Bunker. (Symbolbild)
Immer noch viel Traffic zum Bunker. (Symbolbild) (Bild: fsHH/Pixabay)

Rund ein halbes Jahr nachdem der Bulletproof-Hoster Cyberbunker nach einer Razzia Geschichte ist und die Server beschlagnahmt wurden, gibt es immer noch etliche Zugriffsversuche auf die verwendeten IP-Adressen. Die Sicherheitsforscher Karim Lalji und Johannes Ullrich der US-Forschungseinrichtung Internet Storm Center (ISC) konnten den verbleibenden Traffic analysieren.

Laut den Sicherheitsforschern wurde der IP-Adressraum des Cyberbunkers an die niederländische Firma Legaco verkauft, um die Prozesskosten der mutmaßlichen Betreiber des Bulletproof-Hosters zu finanzieren. Diese habe sich bereiterklärt, den IP-Adressraum (185.103.72.0/22, 185.35.136.0/22 und 91.209.12.0/24) beginnend am 15. April für zwei Wochen auf einen Honeypot der beiden Forscher weiterzuleiten. Lalji und Ullrich analysierten die Zugriffsversuche auf die rund 2.300 IP-Adressen und konnten so Informationen zu verbleibenden kriminellen Aktivitäten sammeln, die sie nun veröffentlichten.

Anfragen an Botnetzwerke, Phishing-Seiten und ein zwielichtiges Werbenetzwerk

Die verbleibenden Zugriffe auf den IP-Adressraum des Cyberbunkers stammten zum größten Teil aus Brasilien, aber auch aus Europa, dem Iran und Mexiko. Insgesamt sei ein Traffic von etwa 2 MBit pro Sekunde angefallen. Bei den meisten Zugriffsversuchen habe es sich um IRC-Anfragen (Internet Relay Chat) eines Botnetzwerkes gehandelt, die sich jedoch zur Tarnung oder um Firewall-Regeln zu umgehen mit dem HTTP-Port 80 verbunden hätten, erklären die Forscher.

Auf diese Weise hätten sich nahezu 7.000 IP-Adressen mit einem ähnlichen Anfragemuster an einen potenziellen Command-and-Control-Server eines Botnetzwerkes im ehemaligen Cyberbunker gewandt. Zudem konnten die beiden Forscher Hinweise auf das Kryptomining- und DDoS-Botnetzwerk Beta Bot sowie das Rootkit Gaudox entdecken.

Bei einer Recherche sind ihnen insgesamt 55 Phishing-Domains aufgefallen, die auf eine IP-Adresse im Adressraum des Cyberbunkers verwiesen. Insbesondere die Subdomain apple-serviceauthentication.com.juetagsdeas[.]org erhielt noch einige Zugriffsversuche. Weitere Beispiele für Phishing-Domains, die im Cyberbunker gehostet waren, sind laut den Forschern bank66[.]com, r0yalbankrbc[.]com und [zufällige Subdomain].paypall-password[.]com

Auch Banneranfragen für das Werbenetzwerk getmyad[.]com konnten von dem Honeypot der beiden Forscher abgefangen werden. Bei den Anfragen seien Zeichenketten übermittelt worden, aus denen sich die Domains oder Inhalte der Anfragen ergeben hätten, erklären die beiden. Demnach habe das Werbenetzwerk vor allem pornografische, aber auch kriminelle Inhalte bis hin zu Material, das auf den sexuellen Missbrauch von Kindern hindeutet, ausgespielt. Laut dem Webarchive war Getmyads vor allem zwischen 2016 und 2018 aktiv. Die letzte archivierte Version der Webseite weist auf die Beschlagnahme des Cyberbunkers hin.

Anklage gegen mutmaßliche Betreiber des Cyberbunkers erhoben

Im April wurden die mutmaßlichen Betreiber des Cyberbunkers angeklagt, obwohl die Auswertung der 403 beschlagnahmten Server andauert. Aus Gründen der Verfahrensbeschleunigung wurde die Anklage auf sieben Taten beschränkt, teilte die Generalstaatsanwaltschaft Koblenz mit. Im Mai wurde nach Recherchen des Spiegel und des NDR bekannt, dass die Betreiber Server an Rechtsextreme vermietet hatten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Mehr Werbung im Streamingabo
Amazon informiert über Verschlechterungen bei Prime Video

Ab dem 5. Februar 2024 ändert sich Prime Video: Es wird mehr Werbung und nur gegen eine Zusatzgebühr werbefreies Streaming geben.
Von Ingo Pakalski

Mehr Werbung im Streamingabo: Amazon informiert über Verschlechterungen bei Prime Video
Artikel
  1. LTE: Starlink-Satelliten mit Direct-to-Cell für Handys gestartet
    LTE
    Starlink-Satelliten mit Direct-to-Cell für Handys gestartet

    Erst einmal wird der Versand von SMS über Starlink in den USA von der dortigen Telekom-Tochter getestet. Aber auch in Europa gibt es einen Partner direkt an der deutschen Grenze.

  2. Mit Kubernetes und Ansible in die Cloudzukunft
     
    Mit Kubernetes und Ansible in die Cloudzukunft

    Ohne die Cloud geht heute an vielen Stellen nicht mehr viel. Vier Live-Remote-Workshops der Golem Karrierewelt vermitteln die Grundlagen klassischer Cloudthemen.
    Sponsored Post von Golem Karrierewelt

  3. Europa: Glasfaserbetreiber setzt auf mehr als 1 GBit/s
    Europa
    Glasfaserbetreiber setzt auf mehr als 1 GBit/s

    Das 10-Gigabit-System XGS-PON wird in Europa ausgebaut. In Deutschland ist man allerdings noch nicht so weit.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MediaMarkt & Saturn: Gutscheinheft mit Rabattaktionen, 3 Games für 49€ und weiteren Angeboten • CHERRY MX 10.0N RGB 49€ • AOC AG275QXN QHD/165 Hz 229€ • Xbox X mit 2 Controllern 419,99€ • ASUS Scar 17 (Ryzen 9 7845HX, RTX 4080) 2.276€ • MindStar: Grafikkarten zu Bestpreisen [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /