Nach der Aushebung des geheimen Cyberbunkers im September 2019 durch die deutsche Polizei letzten Jahres folgt nun die Aufarbeitung der Datenmengen. SANS-Experten stellten Honeypot-Fallen auf und sammelten in kurzer Zeit mehr als 2.300 IP-Adressen um die Funktion und die illegal gehosteten Dienste zu verstehen.

Die etwa 400 Server im riesigen ehemaligen NATO-Bunker wurden vom ehemaligen Betreiber im Darknet als Bulletproof Webhosting beworben. Dort war er auch bekannt unter den Namen ZYztm und Calibour. Immerhin mussten die Ermittler etwa fünf Jahre lang auf der Lauer liegen, bis sie die Anlage im September stürmen und abschalten konnten. Dann begann die Aufarbeitung und offenbarte einen Überblick über die vielen Cyberkriminellen, die die Server für ihre illegalen Geschäfte mieteten. Auf den Servern im Cyberbunker wurden Darknet-zahlreiche Handelsplattformen betrieben. Darunter die Plattformen Wall Street Market, Fraudsters und Cannabis Road. Darüber wurden Betäubungsmittel, Waffen und Falschgeld und noch viel mehr verkauft.

Honeypot sammelt wichtigen Datenverkehr aus ehem. NATO-Bunker

Der Betreiber des Bulletproof-Hosters musste die IP-Adressbereiche der Server im Bunkers allerdings verkaufen, um finanzielle Mittel für die anstehenden Prozesskosten zu bekommen. Käufer des größten Teils der Server-Anlage war Legaco Networks B.V. in den Niederlanden. Die SANS-Ermittler verhandelten mit dem neuen Eigentümer um den Traffic der IP-Adressräume zwei Wochen lang zur Überwachung umzuleiten. Die Sicherheitsexperten des Internet Storm Centers von SANS, Karim Lalji und Johannes Ullrich, nahmen sich der Aufgabe an. Ihre ausführliche Analyse “Honeypot Forensic Investigation on a German Organized Crime Network” haben sie als PDF veröffentlicht.

Die restlichen Daten auf den von den deutschen Behörden konfiszierten Servern werden noch von der Staatsanwaltschaft untersucht. Es handelt sich um eine unvorstellbare Menge von zwei Petabyte an Daten. Diese Daten waren auf den vielen Servern, aber auch auf Mobiltelefonen, Festplatten, Laptops, externe Speichern und anderen Dokumente gespeichert. Doch es gab noch viel mehr. Auf einer der beschlagnahmten illegalen Webseiten, C3B3ROB, waren mehr als 6.000 Darknet-Webseiten gehostet. Alles, was Kriminelle für ihre Aktivitäten benötigen, war dort zu finden. Beispielsweise auch betrügerische Bitcoin-Lotterien, gestohlene Kreditkarten, Mordaufträge und Kinderpornografie.

Aktiver Traffic von über 2.300 IP-Adressen beobachtet

Die Forscher stellten einen Honeypot für die IP-Adressräume 185.103.72.0/22, 185.35.136.0/22 und 91.209.12.0/24 auf. In den zwei Wochen, die ihnen zur Verfügung standen, konnten die beiden SANS-Experten mehr als 2.300 IP-Adressen abgreifen. Diese gehörten zu ehemaligen Kunden oder interessierten Personen. Anfragen für Botnetzwerke und Phishing-Webseiten liefen auch über diese IP-Adressen.

Der Traffic lag im Durchschnitt bei etwa 2 MBit pro Sekunde, wobei mehr Datenverkehr auf beliebteren Webseiten festgestellt wurde. Die Forscher konnten auch feststellen, wo der Ursprung des Zugriffs lag. Übermäßig viele Zugriffe auf den überwachten IP-Adressraum stammten aus Brasilien. Auch aus Europa, dem Iran und Mexiko gab es Zugriffe. Überwiegend handelte es sich bei den Zugriffsversuchen um Internet Relay Chat Anfragen eines Botnetzwerkes. Sie verbanden sich zur Tarnung oder zum Umgehen von Firewall-Regeln mit dem HTTP-Port 80. Gefunden wurden auch Hinweise auf das Rootkit Gaudox und ein Botnetzwerk zum Kryptoschürfen und DDoS-Angriffe, bekannt als Beta Bot.

Lalji und Ullrich fielen auch 55 Phishing-Domains auf, die alle auf eine IP-Adresse des Cyberbunker Adressraumes verwiesen. Zur Subdomain apple-serviceauthentication.com.juetagsdeas[.]org wurden noch ein paar Zugriffsversuche registriert. Andere, im Cyberbunker gehostete Phishing-Domains, waren bank66[.]com, r0yalbankrbc[.]com sowie [Zufalls Subdomain].paypall-password[.]com. Die Honeypots konnten auch Banneranfragen für das Werbenetzwerk getmyad[.]com abfangen.

Fast 2.000 Computeradressen und über 7.000 eindeutige Quell-IPs, wurden im gesamten Traffic analysiert. Gefunden wurden auch verschlüsselte binäre HTTP-Kommunikationen, die mit bekannten Malware-Signaturen verknüpft war. Außerdem Backscatter von anscheinend früheren DDoS-Angriffen und DNS-Auflösung von Websites, die illegale Pornografie enthielten.

Insgesamt gibt diese Analyse, von nur eines Bruchteils des Traffics zum Cyberbunker, einen guten Einblick in die äußerst dubiosen Geschäftskunden der Betreiber. Der Cyberbunker war auch bekannt als CB3ROB.

In einem Facebook Post kurz nach der Razzia im Herbst letzten Jahres schrieb einer der Betreiber: „ISP müssen nicht wissen, wer der Kunde ist, ISP müssen nicht wissen, was der Kunde tut (und selbst wenn sie es wissen, macht es sie nicht haftbar – solange es keine AKTIVE Zusammenarbeit bei deren Aktivitäten gibt)“.

Es wird sich noch im anstehenden Gerichtsverfahren weisen, ob sich der Betreiber mit dieser Einstellung aus der Verantwortung stehlen kann.

Artikel von sans.edu, 23.06.2020: Cyberbunker 2.0: Analysis of the Remnants of a Bullet Proof Hosting Provider
Artikel von theregister.com, 25.06.2020: Honeypot behind sold-off IP subnet shows Cyberbunker biz hosted all kinds of filth, says SANS Institute

Beitragsbild: Public Domain, Creative Commons CC0, mwewering über unsplash.com.