Cyberkriminelle verstecken bösartigen Webverkehr direkt vor der Öffentlichkeit
Graumarktdienste, sogenannte „Bulletproof“-Hosts, waren jahrelang ein wichtiges Werkzeug für Cyberkriminelle, die ihre Webinfrastruktur anonym und ohne Rückfragen verwalten wollten. Doch während die Strafverfolgungsbehörden weltweit verstärkt gegen digitale Bedrohungen vorgehen, haben sie Strategien entwickelt, um Kundeninformationen von diesen Hosts zu erhalten und die Hintermänner zunehmend mit Anklagen ins Visier zu nehmen. Auf der Cybercrime-Konferenz Sleuthcon in Arlington, Virginia, erläuterte der Forscher Thibault Seret heute, wie dieser Wandel sowohl Bulletproof-Hosting-Anbieter als auch kriminelle Kunden zu alternativen Ansätzen bewegt hat.
Anstatt sich auf Webhoster zu verlassen, um außerhalb der Reichweite der Strafverfolgungsbehörden zu agieren, bieten einige Dienstanbieter mittlerweile speziell entwickelte VPNs und andere Proxy-Dienste an, um die IP-Adressen der Kunden zu rotieren und zu maskieren. Zudem bieten sie eine Infrastruktur an, die den Datenverkehr entweder absichtlich nicht protokolliert oder ihn aus verschiedenen Quellen zusammenführt. Obwohl die Technologie nicht neu ist, betonten Seret und andere Forscher gegenüber WIRED, dass der Übergang zur Nutzung von Proxys bei Cyberkriminellen in den letzten Jahren bedeutsam sei.
„Das Problem ist, dass man technisch nicht unterscheiden kann, welcher Datenverkehr in einem Knoten schädlich und welcher gut ist“, sagte Seret, Forscher beim Threat-Intelligence-Unternehmen Team Cymru, gegenüber WIRED vor seinem Vortrag. „Das ist das Geheimnis eines Proxy-Dienstes – man kann nicht sagen, wer wer ist. Das ist gut für die Internetfreiheit, aber es ist extrem schwierig, das Geschehen zu analysieren und schädliche Aktivitäten zu identifizieren.“
Die größte Herausforderung bei der Bekämpfung von durch Proxys verborgenen Cyberkriminalitätsaktivitäten besteht darin, dass diese Dienste möglicherweise auch, sogar primär, legitimen, harmlosen Datenverkehr ermöglichen. Kriminelle und Unternehmen, die diese nicht als Kunden verlieren wollen, setzen insbesondere auf sogenannte „Residential Proxies“. Dabei handelt es sich um dezentrale Knotenpunkte, die auf Verbrauchergeräten – sogar alten Android-Smartphones oder einfachen Laptops – laufen und echte, rotierende IP-Adressen für Privathaushalte und Büros bereitstellen. Solche Dienste bieten Anonymität und Datenschutz, können aber auch bösartigen Datenverkehr abschirmen.
Indem Angreifer bösartigen Datenverkehr so täuschen, als stamme er von vertrauenswürdigen Verbraucher-IP-Adressen, erschweren sie es den Scannern und anderen Tools zur Bedrohungserkennung von Unternehmen erheblich, verdächtige Aktivitäten zu erkennen. Und entscheidend ist, dass Residential Proxies und andere dezentrale Plattformen, die auf unterschiedlicher Verbraucherhardware laufen, den Einblick und die Kontrolle eines Dienstanbieters einschränken und es den Strafverfolgungsbehörden dadurch schwerer machen, nützliche Informationen aus ihnen zu gewinnen.
„Angreifer nutzen in den letzten zwei bis drei Jahren verstärkt private Netzwerke für ihre Angriffe“, sagt Ronnie Tokazowski, ein langjähriger Forscher für digitale Betrugsmaschen und Mitbegründer der gemeinnützigen Organisation Intelligence for Good. „Wenn Angreifer aus denselben Wohnbereichen kommen wie beispielsweise Mitarbeiter einer Zielorganisation, ist die Verfolgung schwieriger.“
Die kriminelle Nutzung von Proxys ist nichts Neues. So erklärte das US-Justizministerium 2016, eines der Hindernisse bei den jahrelangen Ermittlungen zur berüchtigten Cyberkriminellen-Plattform „Avalanche“ sei die Nutzung einer „Fast-Flux“-Hosting-Methode gewesen, die die bösartigen Aktivitäten der Plattform durch ständig wechselnde Proxy-IP-Adressen verschleierte. Der Aufstieg von Proxys als Graumarktdienst und nicht mehr als etwas, das Angreifer selbst entwickeln müssen, stellt jedoch eine wichtige Veränderung dar.
„Ich weiß noch nicht, wie wir das Proxy-Problem lösen können“, sagte Seret von Team Cymru gegenüber WIRED. „Ich denke, die Strafverfolgungsbehörden könnten bekannte bösartige Proxy-Anbieter ins Visier nehmen, wie sie es bei Bulletproof Hosts getan haben. Aber im Allgemeinen sind Proxys komplette Internetdienste, die von allen genutzt werden. Selbst die Abschaltung eines bösartigen Dienstes löst das nicht das größere Problem.“
wired
