Bulletproof hosting – dat bestaat nog steeds in de VS?

Vrijdag verscheen op het blog van Bromium, een Amerikaans bedrijf dat zich onder andere richt op applicatie isolatie om malware aanvallen af te slaan, een artikel over de verspreiding van malware. Gelet op de core business van Bromium is dat geen verrassing. Dat ze daarbij zien dat voor een grootschalige malware verspreiding wordt gebruik gemaakt van 1 Amerikaanse hoster die claimt bulletproof te zijn is dat wel.

Bulletproof is bekend

Het begrip bulletproof hosting zal de meeste lezers van ISP Today bekend zijn. Zullen daarbij al snel denken aan hosting aangeboden in landen waar de een schrift en alfabet wordt gehanteerd dan in dit deel van de wereld. De lezer weet ook dat het een onderwerp is waarover op ISP Today in het verleden al vaker of geschreven. Aanleiding waren bijeenkomsten van Europol, publicaties van TNO (“Apples, Oranges and Hosting Providers: Heterogeneity and Security in the Hosting Market”) of presentaties op security events zoals Hack in the Box.

Puur Amerikaans

Als Bromium stelt dat voor een groot netwerk van malware verspreiders exclusief gebruik is gemaakt van een Amerikaans netwerk is dat opvallend. Die bevinding lijkt niet overeen te komen met de perceptie dat bulletproof vooral ergens in of via het Oosten wordt aangeboden. Van maart 2018 tot maart van dit jaar (de scope van met Bromium onderzoek) hebben 12+ servers in AS53667 naar hartenlust +10 malware families gehost en verspreid. Het gaat daarbij om Dridex, GandCrab, Neutrino, IcedID en vergelijkbare malware. In alle gevallen is voor de verspreiding een phishing e-mail vereist. Hoe dat is gedaan vertelt het verhaal verder niet. Centraal staat de bevinding dat AS53667 een centrale rol speelt in de verspreiding.

AS53667

AS53667 is direct te linken aan Ponynet, wat weer onderdeel is van FranTech en dat claimt (claimde?) bulletproof hosting diensten te bieden. Dat is opmerkelijk om een aantal redenen. De eerste is dat de beoogde slachtoffers van de laatste aanvallen Amerikanen zijn en de veroorzakers van de ellende in dat land worden gehost. Zonder lastige internationale verzoeken om politiehulp kan de boel zo worden opgerold. Tot zover bekend is dat nog nooit gebeurd. Het tweede opmerkelijke is de structuur. Hier lijkt toch echt sprake te zijn van een concentratie en een single point of failure. Hebben de personen die achter deze malware campagne zitten dat echt niet in de gaten gehad, het is bijna niet te geloven.

Onvermijdelijk?

Dan is er nog het reputatie van AS53667 afgezet in de tijd. Bromium kijkt naar een periode van 12 maanden. Iemand die nog logfiles heeft van voor maart 2018 zou kunnen zien dat heel wat van de IP’s voor die periode al actief was met ongewenste activiteiten. Daarbij ging het om iets anders dan het verspreiden van malware gericht op Amerikaanse burgers. AS53667 valt vanaf 2016 regelmatig op als verspreider van cryptoware. Zouden de huidige banking malware verspreiders de voormalige cryptoware pushers zijn of is het onvermijdelijk dat de IP reeksen nu door een ander soort criminelen wordt misbruikt omdat dit de enige bulletproof hoster in de VS is/was?

About the author

Avatar

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.