Bulletproof Hosting Provider im Visier der Strafverfolger

In der vergangenen Woche gelang der niederländischen Polizei ein Schlag gegen einen Bulletproof Hosting Provider (BPH), zahlreiche Server konnte sie beschlagnahmen. Die US-amerikanische IT-Sicherheitsbehörde CISA liefert zudem mit internationalen Partnern Hinweise, wie sich die Risiken durch BPH abwehren lassen.

Bereits in der vergangenen Woche konnte die niederländische Polizei im Rahmen von Ermittlungen gegen ein betrügerisches Hosting-Unternehmen tausende Server beschlagnahmen, wie sie auf ihrer Webseite mitteilt. Der Hoster wurde Polizeiinformationen zufolge ausschließlich für kriminelle Tätigkeiten genutzt – seit 2022 war er in mehr als 80 Ermittlungen zu Cybercrime, auch auf internationaler Ebene, verwickelt.

Der betroffene Bulletproof Hoster warb damit, absolut sicher zu sein und vollständige Anonymität für Nutzerinnen und Nutzer zu bieten – und zudem nicht mit Strafverfolgungsbehörden zusammenzuarbeiten. Das ist typisch für Bulletproof Hoster, sie ermöglichen Kriminellen, unerkannt und folgenlos im Internet bösartige Aktionen auszuführen – anders als „reguläre“ Hoster, die etwa Webseiten von Unternehmen und deren Internetdienste hosten.

Hoster für Kriminelle

Beim BPH, der Kriminellen „sichere“ Internetzugriffe anbot, hat die niederländische Polizei am 12. November rund 250 physische Server in Rechenzentren in Den Haag und Zoetermeer beschlagnahmt. Die hosteten tausende virtuelle Server. Diese untersuchen die Strafverfolger nun im Zuge der weiteren Ermittlungen. Weitere kriminelle Aktionen sind über die Infrastruktur damit jetzt nicht mehr möglich. Zuvor nutzten die bösartigen Akteure den Hoster für Speicherplatz, aber auch zum Ausführen von Ransomware-Angriffen, zur Kontrolle von Botnetzen, für Phishing-Betrug und Verbreitung von Kinderpornografie.

Das US-Finanzministerium hat zudem am Mittwoch dieser Woche gemeinsame Sanktionen von Australien, den USA und dem Vereinigten Königreich gegen russische Cybercrime-Infrastrukturen, die Ransomware unterstützen, angekündigt. Die richten sich gegen den in Russland sitzenden Bulletproof Hoster „Media Land“, zudem gegen „Hypercore Ltd.“ und „Aeza Group LLC“. Diese stellten essenzielle Dienstleistungen für Cyberkriminelle bereit. Die Sanktionen umfassen etwa, dass aller Besitz der beschuldigten Personen und Hoster in den USA eingefroren und an die Abteilung Office of Foreign Assets Control (OFAC) des US-Finanzministeriums gemeldet werden muss. Finanzinstitutionen, die mit den Kriminellen zusammenarbeiten, können dadurch ebenfalls Ziel von Sanktionen werden.

Die US-amerikanische IT-Behörde CISA hat ebenfalls am Mittwoch zusammen mit weiteren Strafverfolgungseinrichtungen der USA und internationalen Partnern eine Handreichung zur Abwehr von Risiken von Bulletproof Hosting (PDF) herausgegeben. Sie stellen klar, dass BPH ein signifikantes Risiko für die Resilienz und Sicherheit von kritischen Systemen und Diensten darstellen. Dabei geben die Behörden Tipps, die sich an Internet Service Provider (ISPs) und Netzwerker richten, die ihre Einrichtungen schützen wollen. Dazu kommen noch gesonderte Hinweise ausschließlich für ISPs.

Darunter fallen so triviale Handreichungen wie die, eine Liste bösartiger Ressourcen zu führen und Filter einzurichten, die bösartigen Traffic blockieren – ohne jedoch regulären Verkehr zu stören. Die Analyse von Traffic und dessen Abklopfen auf Anomalien hilft, die Liste der bösartigen Ressourcen zu befüllen. Die Strafverfolger empfehlen zudem, Logging-Systeme einzusetzen. ISPs und Netzwerker sollen etwa ASNs (Autonomous System Numbers) und IP-Adressen aufzeichnen, gegebenenfalls bei bösartigen Aktivitäten Alarm schlagen und die Protokolle aktuell halten. Zudem helfe der Austausch der gewonnenen Informationen mit öffentlichen und privaten Einrichtungen, die Cyber-Verteidigung zu stärken. Interessierte finden im PDF weitere Details.

(dmk)