Holenderska akcja przeciwko THE.Hosting nie zatrzymała rosyjskiej infrastruktury bulletproof hosting - Security Bez Tabu

Holenderska akcja przeciwko THE.Hosting nie zatrzymała rosyjskiej infrastruktury bulletproof hosting

Cybersecurity news

Wprowadzenie do problemu / definicja

Bulletproof hosting to model usług infrastrukturalnych, w którym operator świadomie toleruje lub wręcz wspiera aktywność cyberprzestępczą. Tego typu zaplecze bywa wykorzystywane do dystrybucji malware, obsługi botnetów, kampanii DDoS, nadużyć proxy, phishingu oraz masowego skanowania Internetu. Sprawa związana z THE.Hosting pokazuje, że nawet szeroko zakrojona akcja organów ścigania nie zawsze prowadzi do trwałego przerwania działalności, jeśli kluczowe elementy infrastruktury sieciowej pozostają aktywne.

W skrócie

  • Holenderskie służby przejęły ponad 800 serwerów i zatrzymały dwie osoby powiązane z THE.Hosting.
  • Mimo operacji aktywność skanująca przypisywana tej infrastrukturze utrzymała się na zbliżonym poziomie.
  • Głównym problemem okazało się pozostawienie aktywnej adresacji IP oraz możliwości dalszego rozgłaszania tras sieciowych.
  • Przypadek ten pokazuje, że konfiskata sprzętu bez neutralizacji warstwy routingu może mieć jedynie ograniczony efekt operacyjny.

Kontekst / historia

THE.Hosting jest łączony przez badaczy z rosyjskim ekosystemem cyberprzestępczym oraz zapleczem wykorzystywanym do operacji wymierzonych w podmioty europejskie. Według dostępnych analiz obecna marka ma być kolejną odsłoną starszej infrastruktury funkcjonującej wcześniej pod innymi nazwami i strukturami korporacyjnymi. Taki model działania pozwala operatorom utrudniać egzekwowanie sankcji, omijać działania śledcze i sprawnie przenosić zasoby między nowymi podmiotami.

Istotną rolę odgrywa tu wykorzystywanie europejskich centrów danych i spółek zarejestrowanych w państwach UE. Formalnie legalna otoczka biznesowa może utrudniać szybkie rozpoznanie rzeczywistego charakteru usług. W praktyce umożliwia to prowadzenie ruchu i operacji z wykorzystaniem adresacji oraz infrastruktury rozproszonej między różnymi jurysdykcjami, co znacząco komplikuje działania obronne i egzekucyjne.

Analiza techniczna

Kluczowe znaczenie ma rozróżnienie między fizycznym przejęciem serwerów a skuteczną neutralizacją obecności operatora w globalnym routingu Internetu. Jeżeli grupa zachowuje kontrolę nad blokami adresów IP i numerami systemów autonomicznych, może w krótkim czasie odtworzyć usługi w innym centrum danych. Wystarczy uruchomić nowe maszyny lub VPS-y i ponownie ogłosić trasy BGP dla tej samej przestrzeni adresowej.

ASN identyfikuje sieć operatora i jego politykę routingu. To właśnie dzięki niemu ruch może być wymieniany z innymi operatorami i dostawcami tranzytu. Gdy adresacja pozostaje aktywna, skutki konfiskaty hostów bywają jedynie chwilowe. Z perspektywy obrońców oznacza to, że ruch skanujący może szybko powrócić, nawet jeśli część fizycznej infrastruktury została zajęta.

Z analiz wynika, że infrastruktura była wykorzystywana do szerokiego, oportunistycznego skanowania oraz działań wspierających budowę botnetów. Obserwowano próby kompromitacji usług opartych o słabe lub domyślne hasła, ataki na publicznie dostępne aplikacje webowe, próby pozyskiwania poświadczeń chmurowych oraz wykorzystanie zasobów do dalszych operacji przeciwko innym podmiotom.

Szczególnie istotny jest zakres rozpoznania. Oprócz typowych usług sieciowych skanowane były także bazy danych, takie jak MongoDB, Redis, PostgreSQL i Oracle. Dodatkowo obserwowano sondowanie protokołów przemysłowych, w tym DNP3 i EtherNet/IP, co może wskazywać na zainteresowanie środowiskami OT i ICS, używanymi m.in. w energetyce, wodociągach i innych segmentach infrastruktury krytycznej.

Odporność takich usług wynika także z geograficznego rozproszenia. Adresacja i zasoby nie muszą znajdować się wyłącznie w kraju, w którym przeprowadzono nalot. Jeśli operator odsprzedaje usługi w wielu państwach, lokalna akcja śledcza wpływa tylko na część zaplecza, podczas gdy pozostałe elementy nadal mogą działać bez większych zakłóceń.

Konsekwencje / ryzyko

Dla branży cyberbezpieczeństwa to wyraźny sygnał, że klasyczne podejście do takedownów nie zawsze wystarcza wobec nowoczesnych operatorów bulletproof hosting. Tego rodzaju infrastruktura jest projektowana z myślą o odporności operacyjnej, szybkiej migracji usług i utrzymaniu ciągłości działania mimo presji ze strony organów ścigania.

Ryzyko dla organizacji obejmuje kilka poziomów. Utrzymujące się skanowanie zwiększa presję na firmy i instytucje posiadające niezaktualizowane systemy, słabe uwierzytelnianie lub nadmiernie wystawione usługi administracyjne. Taka infrastruktura może też wspierać działania wtórne, takie jak malware delivery, botnet C2, kampanie DDoS, spam czy nadużycia pośredniczących węzłów sieciowych. Dodatkowym problemem jest możliwość szybkiego przejścia od rekonesansu do eksploatacji, jeśli atakujący znajdą podatny cel w środowisku IT lub OT.

W wymiarze prawnym i operacyjnym wyzwaniem pozostaje fakt, że przejęcie serwerów w jednym państwie nie oznacza automatycznie możliwości wycofania ogłoszeń BGP, zablokowania adresacji czy odcięcia usług utrzymywanych w innych jurysdykcjach. Bez szerokiej współpracy międzynarodowej i zaangażowania operatorów sieciowych skuteczność takich operacji może być ograniczona.

Rekomendacje

Organizacje powinny potraktować ten incydent jako przypomnienie, że zagrożenie ze strony infrastruktury bulletproof hosting ma charakter trwały i może szybko odradzać się po częściowym zakłóceniu. Podstawą obrony pozostaje redukcja powierzchni ataku oraz poprawa widoczności ekspozycji zewnętrznej.

  • Ograniczyć ekspozycję usług administracyjnych do Internetu, w tym SSH, RDP, paneli zarządzania i interfejsów baz danych.
  • Wdrażać segmentację sieci, dostęp przez VPN, listy kontroli dostępu oraz uwierzytelnianie wieloskładnikowe.
  • Eliminować konta z domyślnymi hasłami, szczególnie w urządzeniach IoT, systemach brzegowych i starszych platformach OT.
  • Oddzielać sieci przemysłowe od środowisk biurowych i Internetu oraz monitorować ruch specyficzny dla ICS.
  • Rozwijać detekcję opartą o telemetrię skanowania i korelować zdarzenia z danymi threat intelligence.
  • Regularnie identyfikować wszystkie publicznie dostępne usługi i prowadzić ciągłą ocenę powierzchni ataku.
  • Po stronie operatorów infrastrukturalnych monitorować reputację ASN, zmiany tras BGP i nietypowe migracje usług między dostawcami.

Podsumowanie

Przypadek THE.Hosting pokazuje, że skuteczna walka z bulletproof hosting wymaga działań wykraczających poza przejęcie fizycznego sprzętu. Jeśli operator zachowuje kontrolę nad adresacją IP, ASN i rozproszonym ekosystemem hostingowym, może relatywnie szybko odbudować zdolności operacyjne. Dla obrońców oznacza to konieczność ciągłej redukcji ekspozycji, lepszego monitoringu ruchu skanującego oraz przygotowania na kampanie prowadzone z infrastruktury zaprojektowanej z myślą o przetrwaniu zakłóceń.

Źródła

  • Dark Reading – Dutch Raid Fails to Dent Russian Bulletproof Host — https://www.darkreading.com/cyber-risk/dutch-raid-russian-bulletproof-host
  • ARIN – Autonomous System Numbers — https://www.arin.net/resources/guide/asn/
  • CISA – Advisory on Threat Activity Leveraging Bulletproof Hosting and Related Infrastructure — https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-242a