Het in maart 2011 opgerolde spambotnetwerk Rustock stond deels op Nederlandse servers. Het gaat om apparatuur van een reseller van de Nederlandse hosting provider LeaseWeb. Dat zegt senior programma manager van de Microsoft Digital Crimes Unit T.J. Campana, bij navraag door Computable.
De in Nederland in beslag genomen servers stonden bij hosting provider LeaseWeb, aldus Campana. ‘Twee IP-adressen die Rustock gebruikte voor commando en controle stonden op in Nederland gehuurde servers van een reseller van LeaseWeb. Dat is de grootste provider in Nederland en één van de grootste hosts in Europa.’
Het overgrote deel van de infrastructuur van Rustock werd volgens Campana echter gehost vanuit de Verenigde Staten. Volgens Campana werden er geen andere servers in beslag genomen in Europa.
Botherders kiezen voor hoge beschikbaarheid
Campana is zeer te spreken over de ontvankelijkheid van zowel de Nederlandse autoriteiten als LeaseWeb voor het meewerken aan de actie: ‘ De ondersteuning die wij ontvingen van de Nederlandse autoriteiten en de betrokken hosting provider was essentieel. Ze stonden erg open voor de actie en reageerden ongelooflijk snel.’
De botherders hebben volgens hem waarschijnlijk voor Nederland gekozen omdat ‘cybercriminelen vaak gebruiken maken van hostinglocaties met een hoge beschikbaarheid, goede bandbreedte en betrouwbare ondersteuning.’ Maar, relativeert hij: ‘De enige echte manier om daar achter te komen is het aan de Rustock-botherders zelf te vragen.’
Neerhalen Rustock
De High Tech Crime Unit van de KLPD haalde in de tweede week van maart de commando- en controle-infrastructuur neer van spambotnetwerk Rustock. Dat gebeurde in een gecoördineerde actie met Amerikaanse opsporingsambtenaren. Ook Microsoft speelde een belangrijke rol bij het neerhalen van de commando- en controlestructuur van het netwerk.