- Door
- Arnout Veenman
- geplaatst op
- 1 september 2008 08:02 uur
Als we aan ISP’s denken die doelbewust cybercrime activiteiten zoals ddos-aanvallen, malware verspreiding en spammen faciliteren dan zullen velen denken aan Russian Business Network (RBN). In de Verenigde Staten is er echter ook een dergelijke ISP actief die het ook niet zo nauw lijkt te nemen met de netiquette.
Volgens Jart Armin van malware blacklist website HostExploit.com neemt Atrivo, een in Californië gevestigde ISP met vergelijkbare praktijken bezig als RBN. Om een volledig beeld te geven van de praktijken en werkwijze van Atrivo heeft Armin een whitepaper (PDF) geschreven om het reilen en zeilen van Atrivo inzichtelijk te maken.
Op basis van een geautomatiseerd onderzoek van 2.600 IP-adressen van Atrivo (10 procent van het totaal van 26.000 IP-adressen van Atrivo) ontdekte Armin:
- 31 verschillende soorten unieke malware (binaries);
- 113 botnet C&C (command and control) servers;
- 734 links naar niet werkende en kwaadaardige ‘beveiligingssoftware’;
- 78 procent van de domeinen en mailservers in het Atrivo netwerk is kwaadaardige (gebaseerd op 465 willekeurige domeinnamen via Web of Trust)
- 145 Malware programma’s die de DNS-server op de computer én router van het slachtoffer veranderen (gebaseerd op de MovieCommander malware).
Die gegevens staan op zichzelf en worden ook voldoende onderbouwd door tientallen bronnen die bevestigen dat Atrivo een beruchte spammer en malware verspreider is. Samen met KnujOn (No junk) heeft Armin een belangrijke relatie van Atrivo met domain reseller DirectI ontdekt, DirectI zou verantwoordelijk zijn voor het beheer van 48 ICANN accredited registrars die enkel bestaan om spam domeinnamen te registreren.
Naast DirectI zijn er nog een reeks van andere bedrijven die netwerkdiensten leveren aan Atrivo c.s. en er op die manier voor zorgen dat zij haar gang kan blijven gaan op internet. Nu ben ik zelf tegen het principe van “guilty by association”, maar dat neemt niet weg dat de leveranciers van Atrivo hun verantwoordelijkheid moeten nemen en van Atrivo moeten eisen dat zij stopt met het verspreiden en hosten van malware, spammen en andere illegale activiteiten en als dat niet gebeurt de relatie met Atrivo verbreken.
Daarnaast zie ik ook een taak voor de Amerikaanse opsporingsdiensten weggelegd, die in dit geval voorbeeld zou kunnen nemen aan de Nederlandse OPTA die zeer voortvarend te werk en er al voor gezorgd heeft dat in Nederland bedrijven als Atrivo niet of nauwelijks meer hun gang kunnen gaan. Het wordt tijd dat de Amerikanen hun eigen straatje ook schoonvegen!
Het netwerk van bedrijven om Atrivo heen volgens HostExploit.com: