Alle beschlagnahmten Domains wieder bei No-IP

Weniger als eine Woche, nachdem Microsoft im Rahmen der Zerschlagung einer Malware-Operation fast zwei Dutzend Domains eines kleinen Hosting-Providers beschlagnahmt hat, befinden sich nun alle diese Domains wieder unter der Kontrolle des Providers, No-IP.

Als Microsoft die Beschlagnahmung am 30. Juni bekannt gab, erklärten Offizielle, das Unternehmen verfüge über eine einstweilige Verfügung von einem Richter in Nevada, die die Übernahme von über 23 Domains erlaube, welche einem Unternehmen namens Vitalwerks gehören, das wiederum No-IP.com und No-IP.org betreibt. Der Hosting-Provider unterhält zudem einen kostenlosen dynamischen DNS-Service, der laut Microsoft zusammen mit den Hosting-Services von Cyberkriminellen ausgenutzt wurde, die in Operationen der Malwarefamilien Bladabindi und Jenxcus verwickelt waren.

Offizielle Vertreter von Vitalwerks dementierten, dass das Unternehmen Angreifern wissentlich erlaubt habe, die Infrastruktur und die Services des Unternehmens zu nutzen und sie erklärten, Microsoft habe das Unternehmen vor der Beschlagnahmung noch nicht einmal kontaktiert. Sie sagten zudem, dass die Domain-Konfiszierung viele Kunden des Unternehmens betroffen habe und Microsoft einige Tage nach der Beschlagnahmung einräumen musste, dass ein „technischer Fehler“ zu einem Problem geführt habe, das aber mittlerweile behoben sei. Doch zum Ende der letzten Woche hätten die Kunden des Unternehmens laut Offiziellen von Vitalwerks noch immer mit Ausfällen zu kämpfen gehabt.

Doch jetzt befinden sich alle beschlagnahmten Domains wieder unter der Kontrolle von Vitalwerks – eine bemerkenswerte Verschiebung der Umstände.

“Wir möchten Sie auf den neusten Stand bringen und mitteilen, dass ALLE 23 Domains, die am 30. Juni von Microsoft beschlagnahmt wurden, sich wieder unter unserer Kontrolle befinden. Bitte berücksichtigen Sie, dass es bis zu 24 Stunden dauern kann, bis sich die DNS vollständig etabliert hat, aber alles sollte innerhalb des nächsten Tages wieder voll funktionsfähig sein. Bei einer der Domains, noip.me, dauert es länger, bis sie wieder online ist, aber sie sollte innerhalb des nächsten Tages vollständig wiederhergestellt sein”, heißt es in einer Erklärung des Unternehmens.

Microsoft führte in den letzten Jahren immer wieder solche Beschlagnahmungen durch, meist mit Fokus auf Botnetze und groß angelegte Malware-Operationen, und eine von vielen Komponenten ist die Konfiszierung vielfältiger Domains, die zur Steuerung oder zur Infektion genutzt werden. Diese Art von Beschlagnahmungen war in der Sicherheitscommunity lange Zeit umstritten, doch Microsoft-Offizielle haben sie mit Hilfe des ‚Digital Crimes Unit‘ des Unternehmens zu etwas ganz Normalem gemacht. Diese letzte Beschlagnahmungsaktion hat allerdings viele Sicherheitsforscher die Augenbrauen hochziehen lassen, die sich zum Teil fragten, warum Microsoft die Erlaubnis erhält, über das Eigentum anderer Unternehmen zu verfügen.

“Die Konfiszierung von Domains ist eine weit verbreitete Strategie, die allerdings außer Kontrolle gerät. Der uneingeschränkte Einsatz von Domain-Sinkholing wurde lange Zeit kontrovers diskutiert, die Tatsache, dass Unternehmen wie Microsoft Vermögenswerte beschlagnahmen, die anderen legitimen Firmen gehören, lässt viele Kollegen vom Glauben abfallen”, sagt Claudio Guarnieri, unabhängiger Sicherheitsforscher, der an vielen Anti-Botnetz-Projekten mitgewirkt hat.

Vertreter von Microsoft erklärten, dass sie noch immer zusammen mit Vitalwerks an der Identifizierung spezieller schädlicher Subdomains arbeiten.

“Wir sind froh über die Fortschritte, die wir in unserer Diskussion mit No-IP erzielt haben. Sie haben die Kontrolle über ihre Domains zurückerlangt, und wir überprüfen die schädlichen Subdomains, um die Opfer der Schadsoftware zu identifizieren”, erklärt David Finn, Executive Director und Justitiar von Microsofts Digital Crimes Unit in einem Statement.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.