Phishing, ransomware en cyberspionage. Alsof de cybercrime-scène de enige business is die ondanks de Covid-pandemie actiever is dan ooit.
Je mag het trouwens ook zien als een ware – clandestiene – economie, waar hackers zich organiseren als ‘echte’ bedrijven. Inclusief een financiële afdeling die zich ontfermt over de faciliteiten. Om maar nog niet te spreken over een klantencontactafdeling om getroffen organisaties te ondersteunen bij het betalen van het losgeld.
In cybercrime vormen de hostingdiensten quasi de ruggengraat van elk aspect van dat ‘bedrijfsmodel’. Die infrastructuur beheert immers de command-and-control (c&c)-servers zodat iedereen anoniem blijft. Hoe hosten criminelen hun malafide praktijken zonder opgemerkt te worden? Want dat zullen ze uiteraard niet doen via de gebruikelijke hostingdiensten van deze wereld. Het antwoord: underground hosting.
Wat is underground hosting?
Zie het als elke dienst die wordt geleverd om infrastructuur te ontvangen of te delen waarmee criminele activiteiten worden uitgevoerd. Dergelijke diensten omvatten de levering van infrastructuur, virtuele, gecompromitteerde en speciale servers, ip-adressen en domeinnamen, vpn’s en andere tools. Met andere woorden: deze clandestiene hostingproviders verkopen of verhuren dus de middelen waarmee cybercriminelen hun activiteiten uitvoeren. Denk aan c&c-infrastructuur, discussiefora en illegale marktplaatsen om materiaal en malwarecodes te verhandelen.
Underground hosting in de praktijk
Deze infrastructuur hosten is een essentieel component van cybercriminaliteit. Het verbindt immers alle (illegale) ‘bedrijfsonderdelen’ met elkaar. Botnets hebben hosting nodig om hun c&c-infrastructuur in te zetten. De hackergroepen gebruiken deze hosting diensten om hun communicatieplatformen te beheren. De inzet van diensten is breed; ze passen zelfs marketingtechnieken toe, alsof ze een reguliere commerciële organisatie zijn.
Kopen en verkopen van hostingsdiensten kan via deze discussiefora dankzij speciale secties. Je zou denken dat deze fora enkel op het deep of dark web bestaan, en dus niet geïndexeerd zijn via de klassieke zoekmachine of enkel toegankelijk zijn via specifieke software zoals Tor. Maar veel van deze criminele fora vind je gewoon op het gekende legale internet.
In het ondergrondse hosting-ecosysteem bestaan er ook ‘winkels’. Daar kan je zowat alles kopen, van gestolen kredietkaartgegevens tot een volledige afdeling met alle mogelijke underground hostingsdiensten. Dus servers, proxy’s, vpn’s en soms zelfs diensten om je te beschermen tegen ddos-aanvallen (!). Ook in deze economie zijn er winkels die zich specialiseren in bijvoorbeeld enkel dedicated servers of ddos-diensten.
Betalen in bitcoin
Er leeft een misverstand dat underground hosting uitsluitend bestaat uit een netwerk van criminelen en cybercriminelen. Maar er zijn officiële hostingbedrijven met duizenden websites waar we dagelijks heen surfen. Die werken ook vaak met officiële doorverkopers met de nodige knowhow en expertise. Uit onderzoek blijkt dat sommige re-sellers ook reclame maken op geheime fora, vaak zonder medeweten van de legitieme hostingprovider die wordt vertegenwoordigd. Het is niet toevallig dat er vaak gebruik wordt gemaakt van hostingproviders die anonieme betaalmiddelen accepteren als bitcoin.
Cybercriminaliteit levert veel geld op, vaak zonder al te veel risico’s. Het is dus geen verrassing dat in zo’n ecosysteem deze zwarte markt van hostingdiensten blijft groeien. Kunnen we deze cybercrime-business stoppen door bloot te leggen hoe underground hosting wordt aangeprezen en verkocht? Nee, helaas niet. Maar we kunnen het wel moeilijker maken door het contact met hun klanten te verstoren en zo hun kosten de hoogte in te jagen.