- Door
- Arnout Veenman
- geplaatst op
- 31 december 2008 08:03 uur
In 2008 werden er een aantal beruchte malware en spam hosters door hun transit providers van het internet afgesloten. Het begon met Atrivo dat volgens een onderzoek de Amerikaanse tegenhanger van Russian Business Networks (RBN) zou zijn. Uit een onderzoek zou blijken dat het netwerk van Atrivo gebruikt wordt voor het hosten van malware, spammende mailservers, Botnet Command & Control (C&C) servers en nog meer ellende.
Atrivo en Estdomains
Ook bood Atrivo onderdak aan Estdomains, een ICANN accredited registrar, met zo’n 281.000 geregistreerde domeinnamen waarvan het grootste deel enkel is geregistreerd voor het hosten van malware en spam websites. Ook DirectI kreeg een veeg uit de pan omdat het de registrar infrastructuur van Estdomains verzorgde en er voor Estdomains zo’n 15.000 malware en spam domeinnamen anoniem geregistreerd zijn via de PrivacyProtect service van DirectI. Kort hierna maakte DirectI bekend al eerder de banden met Estdomains te hebben verbroken naar aanleiding van een artikel over de wandel en handel van het bedrijf.
Atrivo netwerk veranderd in een LAN
Het duurde echter niet lang voor dat het netwerk van Atrivo in een LAN veranderde. Binnen enkele uren na publicatie van het onderzoek over het bedrijf werd het al gedepeerd door haar belangrijkste transit-provider Global Crossing. Daar bleef het niet bij, want niet veel later besloten de twee overgebleven transit-providers Bandcon en WVFiber het zelfde te doen.
Binnen 36 uur wist Atrivo toch weer een uplink te krijgen Pacific Internet Exchange (PIE), die onder druk van Spamhaus de uplink er net zo snel weer uittrokken. En opnieuw wist Atrivo via UnitedLayer een uplink te krijgen, op voorwaarde dat er geen malware, spam, etc meer gehost zou worden binnen het Atrivo netwerk.
Estdomains komt terug online via het Nederlandse Ecatel
Om die reden moest Atrivo de banden met Estdomains verbreken. Dat was echter geen probleem, want al snel wist Estdomains een nieuw thuis te vinden, dit keer bij het Nederlandse Ecatel. De concullega’s van Ecatel waren er echter niet van gecharmeerd dat Estdomains op Nederlands bodem een onderkomen hadden gevonden.
In een reactie tegenover ISPam.nl liet Ecatel weten zelf niet op de hoogte te zijn geweest van het feit dat Estdomains in hun netwerk staat, maar dat geen probleem is zolang er geen abuse meldingen over hen kwamen. Niet veel later besloot Ecatel onder druk van de Nederlandse concullega’s toch de IP-adressen van Estdomains te nullrouten.
Estdomains geroyeerd als ICANN accredited registrar
Voor Estdomains waren de problemen hiermee echter nog niet voorbij. Ook ICANN kreeg het bedrijf in het vizier en ontdekte dat de directeur van het bedrijf eerder het jaar was veroordeeld voor creditcard fraude, witwassen van crimineel geld en valsheid in geschrifte en in het contract dat ICANN met registrars sluit staat dat bestuurders van de registrar niet veroordeeld mogen zijn voor fraude. Zodoende was het einde verhaal voor Estdomains. De 281.000 door Estdomains geregistreerde domeinnamen zijn door DirectI overgenomen, gezien het bedrijf de infrastructuur toch al leverde, zodoende veranderd er voor de klanten van Estdomains feitelijk niets.
McColo offline: 75 procent minder spam
Later het jaar werd er opnieuw een netwerk dat voornamelijk gebruik werd voor het hosten van malware, spam en botnet C&C servers in een LAN veranderd. Door het afsluiten van het McColo netwerk verminderde de hoeveelheid spam die er wereldwijd werd verstuurd korte tijd met 75 procent, dit effect was voornamelijk toe te schrijven aan het feit dat het netwerk de thuishaven was van verschillende botnets.
McColo via het Nederlandse Ecatel online; Ecatel netwerk gaat offline
Uiteindelijk veranderde ook het netwerk van het Nederlandse Ecatel in een LAN. Naar verluid zou McColo via het Ecatel netwerk weer online zijn gekomen en er zou ook malware en spam worden gehost binnen het netwerk van Ecatel. Door transit-providers Tiscali en Hurricane Electric werd daarom de uplink van Ecatel eruit getrokken, waarna het netwerk van Ecatel in een LAN veranderde. Binnen 24 uur had Ecatel via Joint-Transit toch weer verbinding met het internet.
In een reactie tegenover ISPam.nl stelde Ecatel dat er een aantal klanten zonder medeweten van het bedrijf malware hadden gehost binnen het netwerk op eigen IP-addressen (PI-space), waardoor abuse meldingen niet bij Ecatel maar bij de klant binnen kwamen.
