Microsoft beschlagnahmt 22 NO-IP-Domains und durchkreuzt Malware-basierte APT-Operationen von Cyberkriminellen und Nationalstaaten

NO-IP ist einer von vielen Dynamic DNS-Providern da draußen, die kostenlos genutzt werden können, um eine Subdomain auf so populären Domain-Namen wie “servepics.com” oder “servebeer.com” zu registrieren. Für eine recht lange Zeit war das die Lieblingsmethode von Cyberkriminellen, die leicht zu aktualisierende Hostnamen registrieren wollten, um ihre Malware-Implantate zu kontrollieren. Gestern ging Microsoft gegen NO-IP vor und beschlagnahmte 22 seiner Domains. Das Unternehmen strengte zudem einen Zivilprozess an gegen “Mohamed Benabdellah und Naser Al Mutairi sowie ein U.S.-Unternehmen, Vitalwerks Internet Solutions, LLC (die dieselben Geschäfte betreiben wie No-IP.com), für ihre Rollen, die sie bei der Entwicklung und Kontrolle von Schadprogrammen spielen, sowie für ihre Unterstützung bei der Infektion von Millionen von Computern mit Malware, wodurch Microsoft, seine Kunden und die Öffentlichkeit insgesamt geschädigt werden.”

Interessanterweise führte Microsoft zwei spezielle Malwarefamilien an, die benutzt wurden, „um unschuldige Opfer mit den Schadfamilien Bladabindi (NJrat) und Jenxcus (NJw0rm) zu infizieren”. Diese wurden von zahlreichen Cyberkriminellen und Aktivistengruppen benutzt, um Anwender anzugreifen, unter anderem auch von der berühmt-berüchtigten Syrian Electronic Army. (Bleiben Sie dran – ein ausführlicher Blog hierzu folgt demnächst!).

Hinzu kommt, dass die Beschlagnahme viele andere ATP-Operationen außer Gefecht gesetzt hat, die NO-IP für ihre C&C-Infrastruktur genutzt haben. Darunter auch die folgenden:

Unserer Statistik zufolge hat die Beschlagnahme mindestens 25% aller ATP-Gruppen, die wir beobachten, in irgendeiner Weise beeinträchtigt. Einige dieser Hosts, die früher in umfangreichen und raffinierten Cyberspionage-Operationen verwendet wurden, verweisen nun auf ein Microsoft-Sinkhole bei 204.95.99.59.

Zu den Top Level Domains, die von Vitalwerks konfisziert wurden, gehören unter anderem:

  • BOUNCEME.NET
  • MYFTP.BIZ
  • MYVNC.COM
  • NO-IP.BIZ
  • NO-IP.INFO
  • REDIRECTME.NET
  • SERVEBEER.COM
  • SERVEBLOG.NET
  • SERVECOUNTERSTRIKE.COM
  • SERVEGAME.COM
  • SERVEHALFLIFE.COM
  • SERVEHTTP.COM
  • SERVEMP3.COM
  • SERVEPICS.COM
  • SERVEQUAKE.COM
  • SYTES.NET

Unterdessen haben NO-IP / Vitalwerks ihre Reaktion online veröffentlicht:

“Offensichtlich ist die Microsoft-Infrastruktur nicht in der Lage, die Milliarden von Anfragen unserer Kunden zu verarbeiten. Millionen unschuldiger User mussten Ausfälle hinnehmen, weil Microsoft versucht hat, Hostnamen zu beseitigen, die mit einigen wenigen übelmeinenden Akteuren in Verbindung gebracht werden.”

Wir sind der Meinung, dass die gestrigen Ereignisse vielen Cyberkriminellen und APT-Operationen auf der ganzen Welt einen schweren Schlag versetzt haben.

Es ist anzunehmen, dass diese Gruppen künftig in Bezug auf die Nutzung von Dynamic DNS Providern zurückhaltender sein werden und sich dafür häufiger auf gehackte Websites und direkte IP-Adressen verlegen werden, um ihre C&C-Infrastruktur zu verwalten.

Follow me on Twitter

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.