Underground Hosting
Das Geschäft mit der Kriminalität
Fortsetzung des Artikels von Teil 1
Plattformen, die Untergrund Hosting anbieten
Ein verbreiteter Irrtum ist, dass die gesamte cyberkriminelle Kommunikation im Deep Web oder Dark Web stattfindet. Diese Begriffe führen oft zu großer Verwirrung. Der Begriff „Deep Web“ bezieht sich auf alle Internet-Inhalte, die nicht von Suchmaschinen indiziert sind, wie zum Beispiel ein privater Teil eines Forums, private Social-Media-Beiträge et cetera. Der Begriff „Dark Web“ verweist auf den Teil des Internets, der nur über spezifische, zusätzliche Software oder Mittel wie Tor (The Onion Router) zugänglich ist. Entgegen der allgemeinen Auffassung existieren die beschriebenen kriminellen Foren jedoch überwiegend auf der Oberfläche – also prinzipiell „frei zugänglich“.
Es gibt unterschiedliche Plattformen, die Informationen über den Kauf von Hosting-Diensten bieten, dem grundlegendsten und wichtigsten Teil der Infrastruktur für kriminelle Angreifer. Diese Plattformen umfassen in der Regel Angebote und Preise für Bulletproof Hosting sowie Werbung für Proxys zum Verkauf und Angebot für VPS und VPN (Virtuelle Private Server beziehungsweise Netzwerke). Ebenfalls ist der Verkauf solcher Dienstleistungen in Foren zu beobachten, die mit Online-Wetten, Suchmaschinenoptimierung (SEO) und Online-Marketing in Verbindung stehen. Proxys und Dienste werden in diesen Bereichen häufig für die Erzeugung von Klicks verwendet, um das Verhalten von Suchmaschinen zu beeinflussen. Der Verkauf solcher Dienste erfolgt über Online-Foren, speziellen Geschäften, offiziellen Weiterverkaufsseiten, Online Messengers und Mediaplattformen. Zu den von Cyberkriminellen am meisten genutzten Social-Media-Plattformen und Messenger-Diensten gehören beispielsweise Twitter, Telegram und VK, eines der größten sozialen Netzwerke in Russland.
Der cyberkriminelle Untergrund in Deutschland
Der deutschsprachige Untergrund ist stärker als in anderen Ländern vor allem auf den Handel mit illegalen Waren ausgerichtet: Das Hauptangebot umfasst gefälschte Ausweise, gestohlene Kreditkarten, Daten-Dumps und gehackte Konten. Doch wie auf jedem anderen größeren Untergrundmarkt finden sich auch hier Infrastrukturangebote in Form von Bulletproof Hosting, Proxy- und VPN-Diensten. Die meisten Anbieter solcher Services täuschen zwar Legitimität vor, erlauben jedoch die Durchführung böswilliger Aktivitäten und operieren deshalb in Ländern mit lockeren Gesetzen, um Rechtsstreitigkeiten zu umgehen. Doch auch im deutschen Untergrund kommt es vermehrt zum Einsatz solcher Dienste. Dabei spielen vor allem zwei Modelle eine Rolle:
- Kompromittierte dedizierte Server: Bulletproof-Hosting-Provider entscheiden sich dafür, dedizierte Server zu kompromittieren und diese an Parteien zu vermieten, die bösartige Inhalte hosten.
- Missbrauch von Cloud-Hosting-Diensten: Cyberkriminelle missbrauchen Cloud-Hosting-Dienste wie Amazon Web Services (AWS), um unter anderem Command-and-Control-Server (C&C) zu hosten oder gestohlene Daten zu „dumpen“. Diese Dienste werden dabei ohne das Wissen ihrer Besitzer missbraucht.
Diese zwei Modelle ermöglichen es, trotz strenger Gesetze eine Hosting-Infrastruktur zu schaffen. Die Foren und Marktplätze nutzen dabei Content-Proxy-Dienste wie CloudFlare und um lokalen Behörden auszuweichen, werden die Domainnamen der Foren nicht in Deutschland oder der EU registriert. In deutschen Untergrundforen sind Dutzende von russischen Bulletproof-Hosting-Wiederverkäufern vertreten. Sie erfüllen jedoch eher eine beratende Funktion und sind nicht die eigentlichen Eigentümer der Server. Generell gibt es wenige deutsche Anbieter, die mit größeren und bekannteren Akteuren konkurrieren. Grund dafür sind die strengeren Gesetze, die in Deutschland gelten. Andere EU-Länder wie beispielsweise die Niederlande sind hingegen aufgrund einer lockeren Gesetzeslage beliebte Ziele für den Verkauf von Hosting-Diensten.
Zuletzt sorgte in Deutschland der Fall des sogenannten „Cyberbunkers“ für Aufsehen. Im September des letzten Jahres gelang es Ermittlern, die Betreiber des Untergrund-Rechenzentrums festzunehmen. Ort des Geschehens war ein alter Bundeswehrbunker in Rheinland-Pfalz, welchen die Täter in ein unterirdisches Rechenzentrum umbauten und für ihre kriminellen Geschäfte nutzen, zu denen unter anderem Cyberangriffe sowie der Betrieb von Drogenmarktplätzen zählten. Ein wesentlicher Bestandteil ihrer Arbeit war dabei als Bulletproof Hoster zu agieren und die technische Infrastruktur für viele kriminelle Aktivitäten zu gewährleisten.
Wie geht es weiter?
Wie dargestellt, ist das infrastrukturelle Element zweifellos entscheidend für die erfolgreichen Geschäftsmodelle von heutigen Formen der Cyberkriminalität. Es ist zu erwarten, dass in einem so erfolgreichen kriminellen Ökosystem der Markt für den Kauf und Verkauf solcher Dienstleistungen weiter wachsen wird. Die entscheidende Frage lautet: Wie kann das Wissen über die Art und Weise, wie Kriminelle ihre Hosting-Lösungen verkaufen, dabei helfen, ihre Aktivitäten zu unterbinden? Die Antwort: Zwar wird eine vollständige Verhinderung unmöglich sein, dass daraus entsprechende Risiko lässt sich jedoch zumindest senken.
Eine Möglichkeit dies zu erreichen, besteht darin, die Geschäftskosten für die Akteure in die Höhe zu treiben. Wenn ein Verkäufer durch Unterbrechung der Kanäle nicht mehr in der Lage ist, seine Kunden zu erreichen, kann das einen sehr großen Einfluss auf beide Seiten haben. Ein besseres Verständnis, wo und wie diese Dienste verkauft werden, kann dabei helfen, Kriminelle zu stören und ihren Taten entgegenzuwirken. Dies ist wohl die beste Strategie, um die Cyberkriminalität dauerhaft zu schwächen.
Richard Werner, Business Consultant bei Trend Micro
- Das Geschäft mit der Kriminalität
- Plattformen, die Untergrund Hosting anbieten
Lesen Sie mehr zum Thema
