16. Sep. 2015
Bulletproof Hosting: Dienstleistungen für Cyberkriminelle
Was bei Verbrechern in der realen Welt der Unterschlupf ist, sind bei Cyberkriminellen so genannte Bulletproof-Hosting-Services: Sie dienen der Speicherung von Malware-Komponenten oder gestohlenen Daten, als Botnetz-Kommandozentralen (Command-and-Control Server) oder dem Hosten von Websites mit gestohlenen, betrügerischen oder pornografischen Inhalten. Anbieter spezialisieren sich einer Forschungsstudie von Trend Micro zufolge oft regionenabhängig auf verschiedene Inhalte oder Dienste: Es gebe beispielsweise Online-Shops für gefälschte Uhren, Designermode oder elektronische Geräte, die in Ländern angeboten werden, in denen der Verkauf möglicherweise strafbar ist. Bei "Blackhat-Search-Engine-Optimization" werden Seiten mithilfe von SEO-Mechanismen so optimiert, dass diese in den gängigen Suchmaschinen auftauchen und entsprechend Benutzer anlocken.
Blackhat-Search-Engine-Optimization-Pseudosites würden wiederum mit Suchmaschinen im Hinterkopf entwickelt und betrieben, damit Benutzer Internetverkehr kaufen oder verkaufen und so höhere Umsätze auf ihren eigenen Websites erzielen können; sie dienen außerdem zur Weiterleitung des Internetverkehrs, der größtenteils via Malvertising ("böswillige" Werbung) oder gefälschte Apps auf die Kunden-Websites gelangt.
Daneben gebe es Websites, die auf die Erkennung schwacher Kennwörter und Anmeldedaten, die gehackt und entwendet werden können, spezialisiert sind – um unter anderem E-Mail-Konten, Server oder webbasierte Services anzugreifen. Virtual Private Networks (VPNs) wiederum könnten dazu genutzt werden, um die Identität ihrer Eigentümer vor Sicherheitsforschern und Ermittlungsbehörden zu schützen.
Wie sehen die Geschäftsmodelle aus?
Anbieter "schusssicherer" Hosting-Dienste betreiben ihre Geschäfte auf unterschiedliche Arten, die von den Trend-Micro-Forschern in drei Modelle unterteilt werden: Dedizierte Bulletproof-Server, gehackte Server sowie den Missbrauch von Cloud-Hosting-Diensten.
- Anbieter dedizierter Bulletproof-Server erlauben es ihren Kunden, Inhalte zu hosten, die in manchen Ländern möglicherweise als illegal gelten. Bei Beschwerden von Benutzern, Unternehmen und Ermittlungsbehörden versuchen sie dann so lange wie möglich die Anfragen zu verzögern. Häufig stellen sie nur ihre ICQ- oder Telefonnummer öffentlich zur Verfügung. Die Preise für einen Bulletproof-Server beginnen bei 70 US-Dollar pro Monat.
- Andere Hoster bringen dedizierte Server in ihre Gewalt, die sie dann weiter vermieten. Dieses Angebot ist zeitlich begrenzt – bis die rechtmäßigen Eigentümer der infizierten Server darauf aufmerksam werden. Die Miete für einen einmaligen Angriff kostet nach Trend-Micro-Erkenntnissen lediglich 5 US-Dollar. Häufig werden diese Hosts auch für Blackhat-SEO und gewaltsame Eindringversuche genutzt, sie können zudem als Traffic-Proxy oder als Dropzone für gestohlene Daten genutzt werden.
- Die Anbieter des dritten Modells sind mit Vermietern zu vergleichen, die sich nichts zuschulden kommen lassen und ihre Wohnungen ordnungsgemäß vermieten – und dann erleben müssen, dass ihre Mieter illegale Aktivitäten durchführen. Auch wenn die Anbieter das Hosten bösartiger Inhalte ausdrücklich verbieten, werden einige Kunden immer Möglichkeiten finden, die Infrastrukturen beispielsweise als Command-&-Control-(C&C)-Server oder als Dropzone für gestohlene Daten zu missbrauchen. Die Untersuchungen von Trend Micro haben ergeben, dass zu den hier zu nennenden Anbietern Amazon Web Services, Hetzner, OVH und LeaseWeb gehören.
Noch entscheidender als der Geschäftsumfang eines Bulletproof-Hosters ist für seine Kunden die Fähigkeit, bei Bedarf sofortigen Support zu bieten. Die leistungsfähigsten unter ihnen verfügen über ausgezeichnete Supportteams, die mit ihren Kunden über ICQ, Jabber oder eigene JavaScript-basierte Messaging-Services kommunizieren. Wie bei rechtmäßigen Anbietern nutzen diese Supportteams ein Ticketsystem, um Supportanfragen zu bearbeiten.
Ermittlungsbehörden, Sicherheitsanbieter und rechtmäßige Rootserver-Hosting-Anbieter setzen Bulletproof-Hoster auf schwarze Listen, die daher sehr an Nachrichtenfeeds von Unternehmen wie "Spamhaus" und von Sicherheitsanbietern interessiert sind: Sie überprüfen regelmäßig, ob ihre IP-Subnetze oder -Adressen als bösartig eingestuft wurden, um dann umgehend ihre Infrastrukturen zu verlegen; gleichzeitig führen sie interne Untersuchungen durch, welche Kunden gegen ihre Regeln verstoßen haben.
Die Preise richten sich nach dem Risiko, das mit dem Hosten bestimmter Inhalte verbunden ist: Anbieter, die das Hosten von Inhalten mit niedrigem Risiko erlauben, vermieten ihre Server laut Trend Micro bereits ab 2 US-Dollar pro Monat. In der mittleren Preiskategorie geht es um Inhalte mit mittlerem oder hohem Risiko, die Server hierfür befinden sich vorwiegend in Russland und im Libanon, während die monatlichen Preise bei ungefähr 70 US-Dollar für Hardware oder 20 US-Dollar für virtuelle Server liegen. Und für 300 US-Dollar oder mehr im Monat können Kunden kritische Infrastrukturprojekte oder Inhalte mit hohem Risiko hosten lassen, also beispielsweise Kinderpornografie. Server für Inhalte mit hohem Risiko befinden sich vorwiegend in China, Bolivien, im Iran und in der Ukraine.
