Botnet-Betreiber mit eigenen ISPs & Rechenzentren

Die Autoren von Malware und Betreiber von Botnetzen haben eine neue Taktik entwickelt, um nicht mehr auf externe Hosting-Anbieter oder entsprechende Plattformen angewiesen zu seien. Sie richten einfach selbst Rechenzentren ein. Nach Angaben des Sicherheitsdienstleisters Kaspersky reagieren sie damit auf das verstärkte Vorgehen der Sicherheitsbehörden in aller Welt, die die von ihnen genutzten Provider immer häufiger vom Netz nehmen. Um dies zu vermeiden werden die Botnetzbetreiber zu Betreibern eigener Rechenzentren.

Um die dazu nötigen IP-Adressen zu erhalten, nutzen die Internetkriminellen Lücken in den Prüfungsprozessen zur Vergabe der Adressen durch die so genannten Regional Internet Registars (RIR) aus, die teilweise nicht über die nötigen Ressourcen verfügen, um die Prüfung neuer Anträge gründlich genug durchzuführen.

Dadurch werden Adressblöcke unter Umständen ohne genaue Kontrolle der Antragsteller vergeben, weil die RIRs zu oft nichts weiter verlangen, als einen Brief, in dem erklärt wird, wozu ein Hosting-Provider neue IP-Adressen benötigt. Da die Vergabestellen nicht einschätzen können, ob ein Antragsteller illegale Absichten hat, wird den Anträgen oft ohne weiteres stattgegeben.

Gerade in Europa und der Karibik soll die neue Taktik verbreitet sein, weil hier eine Vielzahl von Sprachen gesprochen werden und verschiedene Gesetzgebungen gelten. Da die Kriminellen niemandem mehr Rechenschaft ablegen müssen, können sie ihre Aktivitäten meist ohne Gefahr betreiben.

Weil die betroffenen IP-Blöcke früher oder später aber von Sicherheitdienstleistern identifiziert und kein weiterer Traffic über sie geleitet wird, können sie auch nach einer erneuten Freigabe nicht neu vergeben werden. Durch die Sperrung bleiben sie dann auch für legale Anbieter unbrauchbar, was nach Angaben der von Kaspersky zitierten Experten ein Grund für die Knappheit der IPv4-Adressen ist.