De actie van Microsoft tegen het bedrijf No-IP, waardoor miljoenen websites offline gingen, heeft ook de activiteiten van cyberspionnen gedwarsboomd. Door het optreden wilde Microsoft twee zeer actieve malware-families ontregelen, maar heeft nu ook een aantal spionageoperaties in de wielen gereden.

Dat stelt het Russische anti-virusbedrijf Kaspersky Lab. No-IP biedt Dynamische DNS (DDNS), waar gebruikers gratis allerlei subdomeinen kunnen aanmaken en aan een IP-adres koppelen. Volgens Microsoft werd No-IP op grote schaal door de Bladabindi en Jenxcus-malware gebruikt. De rechter oordeelde dat Microsoft het DNS-beheer van 22 No-IP-domeinen kreeg toegewezen, waardoor het verkeer naar deze subdomeinen op de servers van Microsoft uitkwam. Volgens No-IP kon Microsoft het verkeer niet aan, waardoor miljoenen websites offline gingen.

Spionageoperaties

Naast cybercriminelen en thuisgebruikers zouden ook verschillende advanced persistent threats (APT) en spionageoperaties die van No-IP gebruik maakten zijn verstoord, waaronder de Flame- en Miniflame-campagnes, maar ook verschillende klanten van het Italiaanse beveiligingsbedrijf Hacking Team. Het gaat dan om afnemers van het Remote Control System, spyware van Hacking Team waarmee overheden toegang tot computers kunnen krijgen.

"Gebaseerd op onze statistieken heeft de uitschakeling op de één of andere manier zeker 25% van de APT-groepen geraakt die wij volgen. Sommige van de hosts die eerder bij grootschalige cyberspionage-operaties werden gebruikt, wijzen nu naar wat lijkt een Microsoft server te zijn", zegt analist Costin Raiu. Hij merkt op dat de actie een grote slag is tegen tal van cybercrime- en APT-operaties over de hele wereld en dat cybercriminelen in de toekomst voorzichtiger zullen zijn met het gebruik van DDNS.