De Nederlandse politie heeft deze week een hosting-provider offline gehaald, die tientallen IoT-botnets hostte die verantwoordelijk waren voor honderdduizenden DDoS-aanvallen wereldwijd. De politie nam twee servers in beslag en arresteerde twee mannen bij de kantoren van KV Solutions.
KV Solutions is een zogenaamde ‘bulletproof hosting provider’, een provider die meldingen van misbruik negeert en toestaat dat er criminele operaties uitgevoerd worden op hun servers. Dat bedrijf heeft volgens ZDNet twee jaar lang hosting-infrastructuur geleverd aan internetcriminelen.
Die criminelen gebruikten de servers voor onder meer phishing en het scannen op kwetsbaarheden. Daarnaast was dit een hotspot voor DDoS-botnets. Cybercriminelen huurden servers van KV Solutions om hun bot scanners, malware en command-and-control (C&C) servers te hosten.
DDoS-botnets
Dit jaar hostte KV Solutions tientallen DDoS-botnets. De botnets zijn gemaakt aan de hand van IoT-malware, wat malware is die speciaal ontwikkeld is om Linux-gebaseerde besturingssystemen op routers en slimme IoT-apparaten te infecteren.
Threat Intelligence-bedrijf Bad Packers vertelt dat deze botnets in het afgelopen jaar geobserveerd zijn bij het scannen van het internet en het zoeken naar diverse apparaten. Ze zochten bijvoorbeeld naar ASUS-routers, Huawei-routers en kabelmodems van ZTE.
De meeste DDos-botnets op de servers van KV Solutions draaiden een versie van Mirai, wat IoT-malware is. Ook zijn er botnets gevonden met andere soorten IoT-malware, zoals Hakai, Tsunami en Moobot.
Getalenteerde hackers
De meeste botnets werden aangestuurd door zogeheten script kiddies, wat een term is die gebruikt wordt voor cybercriminelen die ready-made of geautomatiseerde tools gebruiken om botnets te bouwen.
Er waren echter ook botnets die aangestuurd werden door getalenteerde hackers. Subby gebruikte bijvoorbeeld infrastructuur van KV Solutions. Subby is een bekende maker van IoT-malware en operator van botnets.
Een aantal botnets waren bovendien erg groot, met tienduizenden geïnfecteerde apparaten. Dat trok uiteindelijk de aandacht van security-bedrijven als Trend Micro en Netlab van Qihoo 360. Deze bedrijven hebben tijd besteed aan het onderzoek naar de operaties van de botnets.
Arrestaties
De provider is nu dus offline gehaald. De politie viel dinsdag binnen bij het bedrijf en arresteerde twee mensen. Het gaat om een 24-jarige man genaamd Marco B. uit Veendam, en de 28-jarige Angelo K. uit Middelburg. De twee zouden de oprichters zijn van een netwerk van vijf onderling verbonden bedrijven.
De twee zijn de eigenaars van KV Solutions en Lifehosting, maar ook van de IT-bedrijven Bos IT Holding, Kreikamp IT Holding en KBIT Holding. De websites en domeinen van die vijf bedrijven zijn nu offline.
24 uur geleden
