• IT-Karriere:
  • Services:

Bulletproof-Hoster: Immer noch Traffic zu den Cyberbunker-IPs

Nach der Beschlagnahme des Cyberbunkers konnten zwei Forscher den verbleibenden Traffic zum ehemaligen Bulletproof-Hoster analysieren.

Artikel veröffentlicht am ,
Immer noch viel Traffic zum Bunker. (Symbolbild)
Immer noch viel Traffic zum Bunker. (Symbolbild) (Bild: fsHH/Pixabay)

Rund ein halbes Jahr nachdem der Bulletproof-Hoster Cyberbunker nach einer Razzia Geschichte ist und die Server beschlagnahmt wurden, gibt es immer noch etliche Zugriffsversuche auf die verwendeten IP-Adressen. Die Sicherheitsforscher Karim Lalji und Johannes Ullrich der US-Forschungseinrichtung Internet Storm Center (ISC) konnten den verbleibenden Traffic analysieren.

Stellenmarkt
  1. August Storck KG, Halle (Westf.)
  2. Nextron Systems GmbH, Dietzenbach bei Frankfurt am Main

Laut den Sicherheitsforschern wurde der IP-Adressraum des Cyberbunkers an die niederländische Firma Legaco verkauft, um die Prozesskosten der mutmaßlichen Betreiber des Bulletproof-Hosters zu finanzieren. Diese habe sich bereiterklärt, den IP-Adressraum (185.103.72.0/22, 185.35.136.0/22 und 91.209.12.0/24) beginnend am 15. April für zwei Wochen auf einen Honeypot der beiden Forscher weiterzuleiten. Lalji und Ullrich analysierten die Zugriffsversuche auf die rund 2.300 IP-Adressen und konnten so Informationen zu verbleibenden kriminellen Aktivitäten sammeln, die sie nun veröffentlichten.

Anfragen an Botnetzwerke, Phishing-Seiten und ein zwielichtiges Werbenetzwerk

Die verbleibenden Zugriffe auf den IP-Adressraum des Cyberbunkers stammten zum größten Teil aus Brasilien, aber auch aus Europa, dem Iran und Mexiko. Insgesamt sei ein Traffic von etwa 2 MBit pro Sekunde angefallen. Bei den meisten Zugriffsversuchen habe es sich um IRC-Anfragen (Internet Relay Chat) eines Botnetzwerkes gehandelt, die sich jedoch zur Tarnung oder um Firewall-Regeln zu umgehen mit dem HTTP-Port 80 verbunden hätten, erklären die Forscher.

Auf diese Weise hätten sich nahezu 7.000 IP-Adressen mit einem ähnlichen Anfragemuster an einen potenziellen Command-and-Control-Server eines Botnetzwerkes im ehemaligen Cyberbunker gewandt. Zudem konnten die beiden Forscher Hinweise auf das Kryptomining- und DDoS-Botnetzwerk Beta Bot sowie das Rootkit Gaudox entdecken.

Bei einer Recherche sind ihnen insgesamt 55 Phishing-Domains aufgefallen, die auf eine IP-Adresse im Adressraum des Cyberbunkers verwiesen. Insbesondere die Subdomain apple-serviceauthentication.com.juetagsdeas[.]org erhielt noch einige Zugriffsversuche. Weitere Beispiele für Phishing-Domains, die im Cyberbunker gehostet waren, sind laut den Forschern bank66[.]com, r0yalbankrbc[.]com und [zufällige Subdomain].paypall-password[.]com

Auch Banneranfragen für das Werbenetzwerk getmyad[.]com konnten von dem Honeypot der beiden Forscher abgefangen werden. Bei den Anfragen seien Zeichenketten übermittelt worden, aus denen sich die Domains oder Inhalte der Anfragen ergeben hätten, erklären die beiden. Demnach habe das Werbenetzwerk vor allem pornografische, aber auch kriminelle Inhalte bis hin zu Material, das auf den sexuellen Missbrauch von Kindern hindeutet, ausgespielt. Laut dem Webarchive war Getmyads vor allem zwischen 2016 und 2018 aktiv. Die letzte archivierte Version der Webseite weist auf die Beschlagnahme des Cyberbunkers hin.

Anklage gegen mutmaßliche Betreiber des Cyberbunkers erhoben

Im April wurden die mutmaßlichen Betreiber des Cyberbunkers angeklagt, obwohl die Auswertung der 403 beschlagnahmten Server andauert. Aus Gründen der Verfahrensbeschleunigung wurde die Anklage auf sieben Taten beschränkt, teilte die Generalstaatsanwaltschaft Koblenz mit. Im Mai wurde nach Recherchen des Spiegel und des NDR bekannt, dass die Betreiber Server an Rechtsextreme vermietet hatten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       


Assassin's Creed Valhalla angespielt

Im Video zeigt Golem.de selbst aufgenommenes Gameplay aus Assassin's Creed Valhalla. In dem Actionspiel treten die Spieler als Wikinger in England an.

Assassin's Creed Valhalla angespielt Video aufrufen
    •  /