Bulletproof-Hosting: Schusssichere Dienstleistungen für Cyberkriminelle
Trend Micro legt Untersuchung zur Methoden, Geschäftsmodellen und Preisen vor
(pressebox) Hallbergmoos, 24.07.2015 - Bei Cyberkriminalität denken die meisten zunächst an die Akteure oder deren Methoden - während Dienste, die absolut sicheres Hosting versprechen, als nebensächliches Detail im Gesamtbild angesehen werden. Doch es wäre falsch, deren Bedeutung herunterzuspielen - ohne "schusssichere Hosting-Dienste" müssten viele, wenn nicht sogar alle cyberkriminellen Gruppen ihre Machenschaften einstellen. Die Bandbreite reicht vom Speichern gestohlener Daten bis hin zur Bereitstellung gestohlener, betrügerischer oder pornographischer Inhalte. Doch wie sieht das Geschäftsmodell solcher Anbieter konkret aus, wie halten sie ihren Geschäftsbetrieb aufrecht und wie viel müssen Kunden zahlen? Einen Überblick über diese und weitere Fragen gibt das Forschungspapier "Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services", das hier abrufbar ist.
Was bei Verbrechern in der realen Welt der Unterschlupf ist, sind bei Cyberkriminellen die "Bulletproof-Hosting-Services": Während Erstere in ihren Verstecken Schmuggelware und Diebesgut lagern, nutzen Zweitere diese Dienste für die Speicherung von Malware-Komponenten oder gestohlenen Daten, als Botnetz-Kommandozentralen und für das Hosten von Websites mit gestohlenen, betrügerischen oder pornographischen Inhalten. Udo Schneider, Pressesprecher bei Trend Micro, erläutert: "Der eigentliche Sinn von Bulletproof-Hosting-Services besteht darin, bösartige Aktivitäten vor Ermittlungsbehörden zu schützen und Cyberkriminellen die erforderlichen Schlupflöcher zu bieten, damit sie den Fängen der Ermittlungsbehörden und der Sicherheitsbranche entkommen können. Leider sind diese Schlupflöcher heute größtenteils noch immer weit geöffnet."
Wie groß ist das Angebot?
Dabei spezialisieren sich die Anbieter oft regionenabhängig auf verschiedene Inhalte oder Dienste. Es gibt beispielsweise Online-Shops für gefälschte Uhren, Designermode oder elektronische Geräte, die in Ländern angeboten werden, in denen der Verkauf möglicherweise strafbar ist. Bei "Blackhat-Search-Engine-Optimization" werden Seiten mithilfe von SEO-Mechanismen so "optimiert", dass diese in den gängigen Suchmaschinen auftauchen und entsprechend Benutzer "anlocken". "Blackhat-Search-Engine-Optimization-Pseudosites" wiederum werden mit Suchmaschinen im Hinterkopf entwickelt und betrieben, damit Benutzer Internetverkehr kaufen oder verkaufen und so höhere Umsätze auf ihren eigenen Websites erzielen können; sie dienen außerdem zur Weiterleitung des Internetverkehrs, der größtenteils via Malvertising oder gefälschte Apps auf die Kunden-Websites gelangt. Daneben gibt es Websites, die auf die Erkennung schwacher Kennwörter und Anmeldedaten, die gehackt und entwendet werden können, spezialisiert sind - um unter anderem E-Mail-Konten, Serverinfrastrukturen oder webbasierte Services anzugreifen. Virtuelle private Netzwerke wiederum können dazu genutzt werden, die Identität ihrer Eigentümer vor Sicherheitsforschern und Ermittlungsbehörden zu schützen.
Wie sehen die Geschäftsmodelle aus?
Anbieter schusssicherer Hosting-Dienste betreiben ihre Geschäfte auf unterschiedliche Arten, die von den Forschern Trend Micros in drei Modelle unterteilt werden: Dedizierte Bulletproof-Server, gehackte dedizierte Server sowie Missbrauch von Cloud-Hosting-Diensten.
Anbieter dedizierter Bulletproof-Server erlauben es ihren Kunden, Inhalte zu hosten, die in manchen Ländern möglicherweise als illegal gelten. Bei Beschwerden von Benutzern, Unternehmen und Ermittlungsbehörden versuchen sie dann so lange wie möglich die Anfragen zu verzögern. Häufig stellen sie nur ihre ICQ- oder Telefonnummer öffentlich zur Verfügung. Die Preise für einen Bulletproof-Server beginnen bei 70 US-Dollar pro Monat.
Andere Hoster bringen dedizierte Server in ihre Gewalt, die sie dann weiter vermieten. Dieses "Angebot" ist zeitlich begrenzt - bis die rechtmäßigen Eigentümer der infizierten Server darauf aufmerksam werden. Die Miete für einen einmaligen Angriff kostet lediglich 5 US-Dollar. Häufig werden diese Hosts auch für Blackhat-SEO und gewaltsame Eindringversuche genutzt, sie können zudem als Traffic-Proxy oder als Dropzone für gestohlene Daten genutzt werden.
Die Anbieter des dritten Modells sind mit Vermietern zu vergleichen, die sich nichts zu Schulden kommen lassen und ihre Wohnungen ordnungsgemäß vermieten - und dann erleben müssen, dass ihre Mieter illegale Aktivitäten durchführen. Auch wenn die Anbieter das Hosten bösartiger Inhalte ausdrücklich verbieten, werden einige Kunden immer Möglichkeiten finden, die Infrastrukturen beispielsweise als C&C-Server oder als Dropzone für gestohlene Daten zu missbrauchen. Die Untersuchungen Trend Micros haben ergeben, dass zu den hier zu nennenden Anbietern Amazon Web Services, Hetzner, OVH und LeaseWeb gehören.
Wie halten Anbieter ihre Geschäfte am Laufen?
Entscheidender als der Geschäftsumfang eines Bulletproof-Hosters ist für seine Kunden die Fähigkeit, bei Bedarf sofortigen Support zu bieten. Die leistungsfähigsten unter ihnen verfügen über ausgezeichnete Supportteams, die mit ihren Kunden über ICQ, Jabber oder eigene JavaScript-basierte Messaging-Services kommunizieren. Wie bei rechtmäßigen Anbietern nutzen diese Supportteams ein Ticketsystem, um Supportanfragen zu bearbeiten.
Ermittlungsbehörden, Sicherheitsanbieter und rechtmäßige Rootserver-Hosting-Anbieter setzen Bulletproof-Hoster auf schwarze Listen, die daher sehr an Nachrichtenfeeds von Unternehmen wie "Spamhaus" und von Sicherheitsanbietern interessiert sind: Sie überprüfen regelmäßig, ob ihre IP-Subnetze oder -Adressen als bösartig eingestuft wurden, um dann umgehend ihre Infrastrukturen zu verlegen; gleichzeitig führen sie interne Untersuchungen durch, welche Kunden gegen ihre Regeln verstoßen haben.
Wie können Cyberkriminelle den Ermittlungsbehörden entkommen?
Manche Anbieter geben auf ihren Websites öffentlich bekannt, dass sie die Interessen der Länder schützen, in denen sie ansässig sind. Alles außerhalb dieser Grenzen wird als potenzielles Ziel angesehen. Das könnte zum einen daran liegen, dass Ermittlungsbehörden Cyberkriminelle leichter verfolgen können, die Opfer im eigenen Land angreifen - denn die Angreifer unterstehen der Gerichtsbarkeit der jeweiligen Ermittler. In diesen Fällen sind die Anbieter gezwungen, in andere Länder mit laxeren Gesetzen zu wechseln. Das war bei "Pirate Bay" der Fall, das seine Geschäftsaktivitäten kurz vor der Stilllegung in Schweden im Jahr 2009 in die Ukraine verlegte und seitdem fast keine Probleme mehr hat. Ein Grund könnten die ukrainischen Kommunikationsgesetze sein, nach denen Anbieter nicht für die Handlungen ihrer Kunden verantwortlich sind. Einige Regierungen wiederum unterstützen Anbieter finanziell oder agieren gar als deren Drahtzieher - diese Anbieter sind vor einer Stilllegung geschützt.
Was kosten die Services?
Die Preise richten sich nach dem Risiko, das mit dem Hosten bestimmter Inhalte verbunden ist: Anbieter, die das Hosten von Inhalten mit niedrigem Risiko erlauben, vermieten ihre Server bereits ab 2 US-Dollar pro Monat. In der mittleren Preiskategorie geht es um Inhalte mit mittlerem oder hohem Risiko, die Server hierfür befinden sich vorwiegend in Russland und im Libanon, während die monatlichen Preise bei ungefähr 70 US-Dollar für Hardware oder 20 US-Dollar für virtuelle private Server liegen. Und für 300 US-Dollar oder mehr im Monat können Kunden kritische Infrastrukturprojekte oder Inhalte mit hohem Risiko hosten lassen, also beispielsweise Kinderpornographie. Server für Inhalte mit hohem Risiko befinden sich vorwiegend in China, Bolivien, im Iran und in der Ukraine.
Udo Schneider, Pressesprecher bei Trend Micro, fasst zusammen: "Betrachtet man die Komplexität von Bulletproof-Hosting-Services, stellt sich die Frage, ob es wirklich möglich ist, derartige Aktivitäten zu unterbinden. Zwar können Ermittlungsbehörden von außen Druck ausüben. Dies ist vor allem bei Anbietern der Fall, die rechtmäßig handeln und die eine Stilllegung verhindern möchten. Anbieter hingegen, die Dienstleistungen speziell für das Hosten bösartiger Inhalte offerieren und höchstwahrscheinlich in Ländern mit laxer Gesetzgebung sitzen, machen es internationalen Ermittlungsbehörden sehr viel schwerer. Mit einer Ausnahme: Viele schusssichere Hoster verbieten ausdrücklich das Hosten aller Inhalte und Materialien, die mit dem Missbrauch von Kindern verbunden sind. Die meisten Länder verurteilen diese Inhalte und arbeiten aktiv mit Ermittlungsbehörden zusammen, um entsprechende Hosting-Services zu zerschlagen."
Weitere Informationen
Der Forschungsbericht "Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services" kann hier abgerufen werden. Ein Blogeintrag zum Thema findet sich im deutschsprachigen Blog Trend Micros.
Was bei Verbrechern in der realen Welt der Unterschlupf ist, sind bei Cyberkriminellen die "Bulletproof-Hosting-Services": Während Erstere in ihren Verstecken Schmuggelware und Diebesgut lagern, nutzen Zweitere diese Dienste für die Speicherung von Malware-Komponenten oder gestohlenen Daten, als Botnetz-Kommandozentralen und für das Hosten von Websites mit gestohlenen, betrügerischen oder pornographischen Inhalten. Udo Schneider, Pressesprecher bei Trend Micro, erläutert: "Der eigentliche Sinn von Bulletproof-Hosting-Services besteht darin, bösartige Aktivitäten vor Ermittlungsbehörden zu schützen und Cyberkriminellen die erforderlichen Schlupflöcher zu bieten, damit sie den Fängen der Ermittlungsbehörden und der Sicherheitsbranche entkommen können. Leider sind diese Schlupflöcher heute größtenteils noch immer weit geöffnet."
Wie groß ist das Angebot?
Dabei spezialisieren sich die Anbieter oft regionenabhängig auf verschiedene Inhalte oder Dienste. Es gibt beispielsweise Online-Shops für gefälschte Uhren, Designermode oder elektronische Geräte, die in Ländern angeboten werden, in denen der Verkauf möglicherweise strafbar ist. Bei "Blackhat-Search-Engine-Optimization" werden Seiten mithilfe von SEO-Mechanismen so "optimiert", dass diese in den gängigen Suchmaschinen auftauchen und entsprechend Benutzer "anlocken". "Blackhat-Search-Engine-Optimization-Pseudosites" wiederum werden mit Suchmaschinen im Hinterkopf entwickelt und betrieben, damit Benutzer Internetverkehr kaufen oder verkaufen und so höhere Umsätze auf ihren eigenen Websites erzielen können; sie dienen außerdem zur Weiterleitung des Internetverkehrs, der größtenteils via Malvertising oder gefälschte Apps auf die Kunden-Websites gelangt. Daneben gibt es Websites, die auf die Erkennung schwacher Kennwörter und Anmeldedaten, die gehackt und entwendet werden können, spezialisiert sind - um unter anderem E-Mail-Konten, Serverinfrastrukturen oder webbasierte Services anzugreifen. Virtuelle private Netzwerke wiederum können dazu genutzt werden, die Identität ihrer Eigentümer vor Sicherheitsforschern und Ermittlungsbehörden zu schützen.
Wie sehen die Geschäftsmodelle aus?
Anbieter schusssicherer Hosting-Dienste betreiben ihre Geschäfte auf unterschiedliche Arten, die von den Forschern Trend Micros in drei Modelle unterteilt werden: Dedizierte Bulletproof-Server, gehackte dedizierte Server sowie Missbrauch von Cloud-Hosting-Diensten.
Anbieter dedizierter Bulletproof-Server erlauben es ihren Kunden, Inhalte zu hosten, die in manchen Ländern möglicherweise als illegal gelten. Bei Beschwerden von Benutzern, Unternehmen und Ermittlungsbehörden versuchen sie dann so lange wie möglich die Anfragen zu verzögern. Häufig stellen sie nur ihre ICQ- oder Telefonnummer öffentlich zur Verfügung. Die Preise für einen Bulletproof-Server beginnen bei 70 US-Dollar pro Monat.
Andere Hoster bringen dedizierte Server in ihre Gewalt, die sie dann weiter vermieten. Dieses "Angebot" ist zeitlich begrenzt - bis die rechtmäßigen Eigentümer der infizierten Server darauf aufmerksam werden. Die Miete für einen einmaligen Angriff kostet lediglich 5 US-Dollar. Häufig werden diese Hosts auch für Blackhat-SEO und gewaltsame Eindringversuche genutzt, sie können zudem als Traffic-Proxy oder als Dropzone für gestohlene Daten genutzt werden.
Die Anbieter des dritten Modells sind mit Vermietern zu vergleichen, die sich nichts zu Schulden kommen lassen und ihre Wohnungen ordnungsgemäß vermieten - und dann erleben müssen, dass ihre Mieter illegale Aktivitäten durchführen. Auch wenn die Anbieter das Hosten bösartiger Inhalte ausdrücklich verbieten, werden einige Kunden immer Möglichkeiten finden, die Infrastrukturen beispielsweise als C&C-Server oder als Dropzone für gestohlene Daten zu missbrauchen. Die Untersuchungen Trend Micros haben ergeben, dass zu den hier zu nennenden Anbietern Amazon Web Services, Hetzner, OVH und LeaseWeb gehören.
Wie halten Anbieter ihre Geschäfte am Laufen?
Entscheidender als der Geschäftsumfang eines Bulletproof-Hosters ist für seine Kunden die Fähigkeit, bei Bedarf sofortigen Support zu bieten. Die leistungsfähigsten unter ihnen verfügen über ausgezeichnete Supportteams, die mit ihren Kunden über ICQ, Jabber oder eigene JavaScript-basierte Messaging-Services kommunizieren. Wie bei rechtmäßigen Anbietern nutzen diese Supportteams ein Ticketsystem, um Supportanfragen zu bearbeiten.
Ermittlungsbehörden, Sicherheitsanbieter und rechtmäßige Rootserver-Hosting-Anbieter setzen Bulletproof-Hoster auf schwarze Listen, die daher sehr an Nachrichtenfeeds von Unternehmen wie "Spamhaus" und von Sicherheitsanbietern interessiert sind: Sie überprüfen regelmäßig, ob ihre IP-Subnetze oder -Adressen als bösartig eingestuft wurden, um dann umgehend ihre Infrastrukturen zu verlegen; gleichzeitig führen sie interne Untersuchungen durch, welche Kunden gegen ihre Regeln verstoßen haben.
Wie können Cyberkriminelle den Ermittlungsbehörden entkommen?
Manche Anbieter geben auf ihren Websites öffentlich bekannt, dass sie die Interessen der Länder schützen, in denen sie ansässig sind. Alles außerhalb dieser Grenzen wird als potenzielles Ziel angesehen. Das könnte zum einen daran liegen, dass Ermittlungsbehörden Cyberkriminelle leichter verfolgen können, die Opfer im eigenen Land angreifen - denn die Angreifer unterstehen der Gerichtsbarkeit der jeweiligen Ermittler. In diesen Fällen sind die Anbieter gezwungen, in andere Länder mit laxeren Gesetzen zu wechseln. Das war bei "Pirate Bay" der Fall, das seine Geschäftsaktivitäten kurz vor der Stilllegung in Schweden im Jahr 2009 in die Ukraine verlegte und seitdem fast keine Probleme mehr hat. Ein Grund könnten die ukrainischen Kommunikationsgesetze sein, nach denen Anbieter nicht für die Handlungen ihrer Kunden verantwortlich sind. Einige Regierungen wiederum unterstützen Anbieter finanziell oder agieren gar als deren Drahtzieher - diese Anbieter sind vor einer Stilllegung geschützt.
Was kosten die Services?
Die Preise richten sich nach dem Risiko, das mit dem Hosten bestimmter Inhalte verbunden ist: Anbieter, die das Hosten von Inhalten mit niedrigem Risiko erlauben, vermieten ihre Server bereits ab 2 US-Dollar pro Monat. In der mittleren Preiskategorie geht es um Inhalte mit mittlerem oder hohem Risiko, die Server hierfür befinden sich vorwiegend in Russland und im Libanon, während die monatlichen Preise bei ungefähr 70 US-Dollar für Hardware oder 20 US-Dollar für virtuelle private Server liegen. Und für 300 US-Dollar oder mehr im Monat können Kunden kritische Infrastrukturprojekte oder Inhalte mit hohem Risiko hosten lassen, also beispielsweise Kinderpornographie. Server für Inhalte mit hohem Risiko befinden sich vorwiegend in China, Bolivien, im Iran und in der Ukraine.
Udo Schneider, Pressesprecher bei Trend Micro, fasst zusammen: "Betrachtet man die Komplexität von Bulletproof-Hosting-Services, stellt sich die Frage, ob es wirklich möglich ist, derartige Aktivitäten zu unterbinden. Zwar können Ermittlungsbehörden von außen Druck ausüben. Dies ist vor allem bei Anbietern der Fall, die rechtmäßig handeln und die eine Stilllegung verhindern möchten. Anbieter hingegen, die Dienstleistungen speziell für das Hosten bösartiger Inhalte offerieren und höchstwahrscheinlich in Ländern mit laxer Gesetzgebung sitzen, machen es internationalen Ermittlungsbehörden sehr viel schwerer. Mit einer Ausnahme: Viele schusssichere Hoster verbieten ausdrücklich das Hosten aller Inhalte und Materialien, die mit dem Missbrauch von Kindern verbunden sind. Die meisten Länder verurteilen diese Inhalte und arbeiten aktiv mit Ermittlungsbehörden zusammen, um entsprechende Hosting-Services zu zerschlagen."
Weitere Informationen
Der Forschungsbericht "Unterschlupf für Cyberkriminelle zu vermieten: Bulletproof Hosting Services" kann hier abgerufen werden. Ein Blogeintrag zum Thema findet sich im deutschsprachigen Blog Trend Micros.
