Исследователи из НКО Spamhaus обнаружили новый тип bulletproof-хостинга, который уже успел завоевать популярность у киберпреступников. Провайдеры арендуют виртуальные частные серверы (Virtual Private Servers, VPS), используя их как прокси для вредоносных кампаний своих клиентов.
Эксперты называют bulletproof-хостерами (от англ. «пуленепробиваемый») тех провайдеров, которые игнорируют поступающие жалобы на размещение нелегального контента и подозрительную интернет-активность. Их услугами часто пользуются распространители зловредов, организаторы фишинговых кампаний, спамеры и другие киберпреступники.
Добросовестные интернет-провайдеры стараются оперативно блокировать диапазоны IP-адресов и автономные системы, замеченные во вредоносных кампаниях. Эксперты отмечают, что это снижает бизнес-привлекательность bulletproof-хостинга, поскольку злоумышленникам приходится часто перестраивать инфраструктуру, а дополнительные расходы сказываются на стоимости услуг. Аренда VPS может изменить ситуацию — такая модель обеспечивает преступникам ширму для нежелательных операций, одновременно позволяя быстро восстанавливать заблокированные мощности.
Как организован bulletproof-хостинг на базе VPS:
По свидетельству Spamhaus, новые владельцы ресурса арендуют виртуальные серверы, используя украденные или поддельные учетные данные. Организаторы вредоносных кампаний связывают посадочные страницы с этими VPS, чтобы затем перебрасывать посетителей по цепочке переадресаций к собственному веб-серверу.
Если какой-то сервер все же блокируется, провайдер может быстро восстановить работу. Для этого он указывает в DNS несколько адресных записей (Address Record, A-record), которые связывают имя хоста с IP. В некоторых кампаниях смена записи происходит автоматически, обеспечивая злоумышленникам практически беспрерывную активность без необходимости заново регистрироваться у провайдера и проходить соответствующие проверки.
Недобросовестные хостеры арендуют VPS у множества провайдеров, среди которых немалую часть составляют российские компании. Эксперты объясняют это низкой стоимостью услуг и отсутствием контактов с западными правоохранительными органами.
Перспективы борьбы с новой угрозой:
По данным Spamhaus, виртуальные серверы уже завоевали основную часть рынка нелегальных мощностей.
«С сентября по третью неделю декабря 2019 года Spamhaus насчитала 4117 управляющих ботнет-серверов, — рассказали аналитики. — Из этого числа 3620 использовали bulletproof-хостинг на VPS».
Эксперты подчеркнули, что жизнеспособность новой модели зависит от того, как поставщики услуг проверяют своих заказчиков. Большинство провайдеров, чьи мощности сейчас используют злоумышленники, смотрят на клиентскую активность сквозь пальцы. В некоторых случаях проверки отсутствуют вообще.
Специалисты призывают провайдеров воспользоваться руководством Spamhaus по определению нежелательных клиентов. Кроме того, компании могут ознакомиться со списком IP-адресов и автономных систем, которые используются во вредоносных кампаниях. Эти данные помогут автоматически выявлять и блокировать нежелательную активность в интернет-сетях.
Ранее стало известно об успешном рейде немецкой полиции, который положил конец bulletproof-хостеру Cyberbunker 2.0. Преступники разместили в заброшенном бункере около 200 серверов, на которых размещались ресурсы по продаже наркотиков, мошеннические площадки, сайты с детской порнографией.
Еще один крупный хостинг в июле разгромила Служба безопасности Украины. По оценкам правоохранительных органов, группировка обеспечивала работу до 40% русскоязычного даркнета.
Источник: https://threatpost.ru/bulletproof-hosters-shifted-to-vps/35106/