Deep Web
Hacker-Infrastrukturen als Angebot im Untergrund
Unsere Forscher werfen einen Blick auf das Angebot von Bulletproof Hosting, Proxies und Services für Cyberkriminelle
Save to Folio
Originalartikel von Vladimir Kropotov, Robert McArdle, and Fyodor Yarochkin, Trend Micro Research
Im cyberkriminellen Untergrund stellt die Hosting-Infrastruktur eines Kriminellen die Grundlage für sein gesamtes Geschäftsmodell dar. Sie beinhaltet Anonymisierungsdienste, um die Aktivitäten vertraulich zu halten, Command-and-Control (C&C)-Server für den Missbrauch der Rechner der Opfer und Diskussionsforen für die Kommunikation mit anderen Kriminellen. Kriminelle Anbieter liefern Dienste und Infrastrukturen, die andere Kriminelle für die Ausführung ihrer Angriffe benötigen. Ein solcher Hosting-Service kann die Bereitstellung von Hosting-Infrastrukturen, von Domain-Namen, Fast-Flux-Infrastrukturen, Traffic-Beschleunigern, virtuellen und dedizierten Servern und virtuellen privaten Netzwerken (VPNs) umfassen. Gehostete Infrastrukturen werden auch für das Versenden von Phishing-Emails, den Handel mit illegalen Waren in Online-Shops und das Hosten von Virtual Private Systems (VPS), von denen aus Angriffe gestartet werden können, eingesetzt.
Hosting Services im Untergrund
Plattformen im kriminellen Untergrund bieten eine breite Palette von Diensten für kriminelle Hacker. Dazu gehören Bulletproof Hosting und Proxies bis hin zu VPS und VPNs. Interessanterweise finden sich solche Dienste auch in Foren, die mit Online-Wetten, Online-Marketing und Suchmaschinenoptimierung (SEO) zu tun haben.
Es gibt darüber hinaus auch Chat-Gruppen auf Online-Messenger-Plattformen wie VK, Telegram und WhatsApp, die zur Werbung für die oben genannten Dienste genutzt werden. Die Anzeigen in Untergrundforen und sozialen Netzwerken hatten dieselben Kontaktinformationen wie die Verkäufer, stellten die Forscher fest. Dies widerlegt die bestehende Vorstellung, dass Kriminelle nur im Untergrund illegale Waren verkaufen. Sie bieten ihre Marktplätze auch im legalen Netz an.
Dies ist der aktuelle Status des Untergrundmarkts - gut etabliert mit Foren voller Angebote und Communities von Akteuren unterschiedlicher Reife. Die Untergrundmarktplätze haben sich weiterentwickelt und besitzen Strukturen, die die legitimer Geschäfte widerspiegeln. Die Anbieter haben detaillierte Geschäftsmodelle und Systeme entwickelt, die gängige Zahlungsmittel wie PayPal, Mastercard, Visa und Kryptowährungen akzeptieren.
Die Produktpalette im Untergrund ist vielfältig. Abgesehen von den diversen Angeboten von Kreditkarten-Dumps und Skimmern, gibt es Hacking-Dienste in dedizierten Shops, die dedizierte Server, SOCKS-Proxies, VPNs und Distributed Denial-of-Service (DDoS)-Schutz anbieten.
Die Sicherheitsforscher fanden offizielle Wiederverkäufer von öffentlichen Hosting-Diensten, die in Untergrundforen werben. Diese Provider haben eine legitime Kundschaft und werben im Internet. Mehrere Reseller kümmern sich jedoch auch um Kriminelle im Untergrund, entweder mit oder ohne Wissen des Unternehmens.
Es gibt auch Akteure im Untergrund, die Referenzlinks von Hosting-Providern sharen und sogar Empfehlungsprämien von der Community kassierten. Hosts werden häufig von kriminellen Akteuren wegen ihrer Anonymität und ihrer Möglichkeiten des Missbrauchs diskutiert und beworben.
Social Media-Plattformen, die kriminelle Anbieter und Käufer ausnutzen
Wie jedes Unternehmen, das Waren und Dienstleistungen an potenzielle Abnehmer verkauft, werben auch kriminelle Händler. Verkäufer nutzen verschiedene Plattformen, um für ihre Produkte und Dienstleistungen zu werben: Chat-Kanäle, Hacking-Foren und Social Media-Posts.
So gab es beispielsweise einen Hosting-Service, der im sozialen Netzwerk VK als geeignet beworben wurde, um Brute-Force-Angriffe und Massen-Internet-Scans über Masscan, Nmap und ZMap durchzuführen.
Fazit
Ein gutes Wissen, den kriminellen Untergrund betreffend, ist von entscheidender Bedeutung, um Organisationen, der InfoSec-Community und den Strafverfolgungsbehörden dabei zu helfen, mit der Cyberkriminalität umzugehen und sie einzudämmen. Ein zweiter Teil zu der Forschung von Trend Micro stellt dar, wie Cyberkriminelle Infrastrukturkomponenten erwerben und einsetzen, so etwa kompromittierte Assets und dedizierte Hosting-Server.
Details zu der aktuellen Forschung umfasst das Whitepaper „The Hacker Infrastructure and Underground Hosting: An Overview of the Cybercriminal Market“. Es gibt Einblicke in die Funktionsweise einer Untergrundwirtschaft und die Grundlagen von krimineller Online-Infrastruktur.
