image

Nederlands hostingbedrijf gebruikt voor cyberspionage

maandag 7 maart 2016, 16:04 door Redactie, 5 reacties

Een Nederlands hostingbedrijf wordt gebruikt door een groep cyberspionnen die eerder de Nederlandse Onderzoeksraad van MH17, verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, een NAVO-lid en ook Linuxgebruikers als doelwit had.

Dat laat het Japanse anti-virusbedrijf Trend Micro weten. Het gaat om een groep genaamd Pawn Storm, die zich nu ook op de Turkse overheid richt. De virusbestrijder baseert zich op verschillende Outlook Web Access (OWA) servers die door de aanvallers waren neergezet. Via phishingmails en verkeerd gespelde domeinnamen werd geprobeerd om doelwitten naar deze servers te lokken zodat ze daar inlogden, waardoor de aanvallers gebruikersnamen en wachtwoorden in handen konden krijgen.

Voor het uitvoeren van de aanvallen tegen de Turkse overheidsorganisaties maakt de groep volgens Trend Micro gebruik van een Nederlandse vps-provider. Vps staat voor virtuale private server en is zoals de naam al doet vermoeden een virtuele server die op een fysieke server draait. In Nederland zijn er veel hostingbedrijven die vps-hosting aanbieden. De vps-aanbieder in kwestie zou in het verleden vaker door deze groep alsmede andere groepen cyberspionnen en cybercriminelen zijn gebruikt.

"Tientallen aanvallen van Pawn Storm in 2015 en 2016 zijn uitgevoerd via de diensten van de vps-provider, alsmede de aanvallen van andere groepen zoals DustSky en Carbanak", laat onderzoeker Feike Hacquebord weten. Hij vergelijkt de provider in kwestie met een Nederlandse 'bulletproof hosting service'. Bulletproof hosting staat voor hostingdiensten waar cybercriminelen graag gebruik van maken, omdat de hostingpartij in kwestie cybercrime gedoogt of niet op abusemeldingen reageert, waardoor bijvoorbeeld aanvallen, het versturen van spam of verspreiden van malware kan doorgaan.

Reacties (5)
08-03-2016, 06:47 door Anoniem
"Pawn Storm makes use of network infrastructure based in the Netherlands. They seem to have found a cozy home at a VPS provider with a postal address in the United Arab Emirates and servers in a datacenter in the Netherlands."

Dus een postadres in de VAE maar met zijn infrastructuur in Nederland. Het is dus maar de vraag of het een Nederlands bedrijf is.
08-03-2016, 07:28 door Anoniem
Uit mijn analyse blijkt dat 95% van de aanvallen die vanuit Nederland op systemen in Nederland worden uitgevoerd bij een hoster staan. Dit is al minstens 10 jaar ongewijzigd. Ik neem aan dat iedere zich zelf respecteren security o derzoeker in NL dit weet
08-03-2016, 08:44 door Anoniem
[Verwijderd door moderator]
08-03-2016, 14:49 door Anoniem
"Bulletproof hosting staat voor hostingdiensten waar cybercriminelen graag gebruik van maken, omdat de hostingpartij in kwestie cybercrime gedoogt of niet op abusemeldingen reageert, waardoor bijvoorbeeld aanvallen, het versturen van spam of verspreiden van malware kan doorgaan."

Dat maakt het geen bullet proof hosting. Bullet proof hosting is hosting waarbij gegarandeerd wordt dat de service online blijft, zelfs wanneer de FBI / politie / ... binnen komt vallen met een gerechtelijk bevel om de servers in beslag te nemen en de hoster te dwingen de site offline te halen.
09-03-2016, 10:52 door Anoniem
Dus een postadres in de VAE maar met zijn infrastructuur in Nederland. Het is dus maar de vraag of het een Nederlands bedrijf is.

Het betreft International Widespread Services. Het bedrijf opereert o.a. in Nederland, maar is inderdaad niet Nederlands.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.