Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Is Atrivo de Amerikaanse tegenhanger van Russian Business Network?

  • Door
  • Arnout Veenman
  • geplaatst op
  • 1 september 2008 08:02 uur

Als we aan ISP’s denken die doelbewust cybercrime activiteiten zoals ddos-aanvallen, malware verspreiding en spammen faciliteren dan zullen velen denken aan Russian Business Network (RBN). In de Verenigde Staten is er echter ook een dergelijke ISP actief die het ook niet zo nauw lijkt te nemen met de netiquette.

Volgens Jart Armin van malware blacklist website HostExploit.com neemt Atrivo, een in Californië gevestigde ISP met vergelijkbare praktijken bezig als RBN. Om een volledig beeld te geven van de praktijken en werkwijze van Atrivo heeft Armin een whitepaper (PDF) geschreven om het reilen en zeilen van Atrivo inzichtelijk te maken.

Op basis van een geautomatiseerd onderzoek van 2.600 IP-adressen van Atrivo (10 procent van het totaal van 26.000 IP-adressen van Atrivo) ontdekte Armin:

  • 31 verschillende soorten unieke malware (binaries);
  • 113 botnet C&C (command and control) servers;
  • 734 links naar niet werkende en kwaadaardige ‘beveiligingssoftware’;
  • 78 procent van de domeinen en mailservers in het Atrivo netwerk is kwaadaardige (gebaseerd op 465 willekeurige domeinnamen via Web of Trust)
  • 145 Malware programma’s die de DNS-server op de computer én router van het slachtoffer veranderen (gebaseerd op de MovieCommander malware).

Die gegevens staan op zichzelf en worden ook voldoende onderbouwd door tientallen bronnen die bevestigen dat Atrivo een beruchte spammer en malware verspreider is. Samen met KnujOn (No junk) heeft Armin een belangrijke relatie van Atrivo met domain reseller DirectI ontdekt, DirectI zou verantwoordelijk zijn voor het beheer van 48 ICANN accredited registrars die enkel bestaan om spam domeinnamen te registreren.

Naast DirectI zijn er nog een reeks van andere bedrijven die netwerkdiensten leveren aan Atrivo c.s. en er op die manier voor zorgen dat zij haar gang kan blijven gaan op internet. Nu ben ik zelf tegen het principe van “guilty by association”, maar dat neemt niet weg dat de leveranciers van Atrivo hun verantwoordelijkheid moeten nemen en van Atrivo moeten eisen dat zij stopt met het verspreiden en hosten van malware, spammen en andere illegale activiteiten en als dat niet gebeurt de relatie met Atrivo verbreken.

Daarnaast zie ik ook een taak voor de Amerikaanse opsporingsdiensten weggelegd, die in dit geval voorbeeld zou kunnen nemen aan de Nederlandse OPTA die zeer voortvarend te werk en er al voor gezorgd heeft dat in Nederland bedrijven als Atrivo niet of nauwelijks meer hun gang kunnen gaan. Het wordt tijd dat de Amerikanen hun eigen straatje ook schoonvegen!

Het netwerk van bedrijven om Atrivo heen volgens HostExploit.com:

DreamHost.nl, 1 september 2008 10:55 am

Arnout, je beschuldigingen zijn m.i. een beetje kort door de bocht. DirectI levert de LogicBoxes software waarmee iedere ICANN Accredited registrar zijn (en die van zijn klanten) domeinnamen kan beheren. Om nu gelijk te gaan zeggen dat DirectI daarmee cybercrime ondersteunt gaat wel erg ver. Zo zou je ook Microsoft kunnen noemen omdat servers van Atrivo met een Windows OS zijn uitgerust.

Arnout Veenman, 1 september 2008 10:58 am

@DreamHost.nl, ik beschuldig niemand ergens van. Ik heb enkel een samenvatting gegeven van de whitepaper en stel zelfs expliciet tegen "guilty by association" te zijn, maar ben wel van mening dat de leveranciers wel hun verantwoordelijkheid moeten nemen om dit soort praktijken een halt toe te roepen.

DreamHost.nl, 1 september 2008 11:11 am

Door op deze manier een samenvatting te geven, lijkt het alsof je het met het meerendeel van de standpunten eens bent; mede gezien je ook het grafiekje mee afprint.
Bij de levering van software is de leverancier vantevoren niet altijd bekend met wat er mee gedaan gaat worden. Enige terughoudendheid hierbij lijkt me daarom wel op z'n plaats.

Arnout Veenman, 1 september 2008 11:18 am

Ik heb ook niet gezegd dat ik de conclusie niet deel. :) Het gaat overigens niet alleen om de levering van software. Als je het whitepaper van Armin en het artikel op KnujOn leest weet je precies wat de relevante feiten zijn waar dit artikel op gebaseerd is.

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.