Interpol haalt ruim 22.000 malafide IP-adressen offline

Interpol heeft bij een wereldwijde actie meer dan 22.000 malafide IP-adressen of servers die gelinkt zijn aan cyberdreigingen offline gehaald. Ook zijn 41 mensen gearresteerd tijdens de zogenaamde Operatie Synergia II.

Interpol richtte zich tijdens de actie specifiek op phishing, ransomware en malware die informatie steelt, zegt de organisatie op zijn website. Tussen 1 april en 31 augustus werd door Interpol, partners uit de private sector en handhavingsinstanties in 95 Interpol-lidstaten samengewerkt om deze offline te halen.

In totaal werden 30.000 verdachte IP-adressen geïdentificeerd, waarvan 76 procent offline werd gehaald. Ook zijn 59 servers in beslag genomen, samen met 43 elektronische apparaten als laptops, mobiele telefoons en harde schijven. Naast de 41 gearresteerde mensen, worden 65 individuen nog onderzocht door de autoriteiten.

Bij de operatie werden in het Chinese Hong Kong 1.037 servers die gelinkt zijn aan malafide diensten offline gehaald. In Macau, ook in China, werden 291 servers offline gehaald. In Estland heeft de politie meer dan 80GB aan serverdata in beslag genomen, die nu verder geanalyseerd worden. In Mongolië zijn 21 huizen doorzocht, is een server in beslag genomen en zijn 93 personen geïdentificeerd die gelinkt worden aan illegale cyberactiviteiten. De autoriteiten in Madagaskar hebben elf mensen geïdentificeerd die gelinkt zijn aan malafide servers. Ook zijn daar elf elektronische apparaten in beslag genomen.

Door Eveline Meijer

Nieuwsredacteur

07-11-2024 • 07:36

30

Submitter: wildhagen

Reacties (30)

Sorteer op:

Weergave:

Ik vind de titel vrij apart maar zie dat ie 1 op 1 is overgenomen van Interpol. Ja haalt servers offline, geen IP adressen. Of worden die adressen geschrapt van alle DNS servers of zo? Lijkt me ook stug.

Dit is toch gewoon kwestie van de servers in beslag nemen die achter die malafide IP adressen draaien. Plus de betrokken mensen arresteren.
IP-adressen kunnen perfect en zelfs vrij makkelijk "offline" gehaald worden. Dat geldt dan wel voor (minstens) de /24 waar ze deel van uit maken.

Als de politie met een bevel naar RIPE stapt kunnen ze daar eventueel afdwingen dat het Route Object van dat netwerk uit hun database geschrapt wordt.
De meeste transit providers laten hun BGP routers de RIPE database querien om te controleren of voor de subnets die ze routeren een route object is. Als er geen route object is zullen ze die subnets niet meer routeren.

Om de x aantal uur worden die lijsten nog eens binnen getrokken en de nodige routes toegevoegd of verwijderd.

Het kleinste netwerk dat kan toegevoegd worden is een /24, dus in dit geval gaan er ook andere klanten geïmpacteerd zijn bij de eigenaar van dat subnet of zelfs hele AS.
Maar, als eigenaar van die IP-adressen ben je verantwoordelijk voor alles wat ermee gebeurt.

Een stap verder is dat die range zelfs gewoon kan afgepakt worden. Dat is niet meer dan de owner aanpassen bij RIPE.
"Een stap verder is dat die range zelfs gewoon kan afgepakt worden. Dat is niet meer dan de owner aanpassen bij RIPE."

Ik heb zelf interacties met RIPE en LIR's en "Dat is niet meer dan" is hier niet van toepassing want dat is een zeer extreem maatregel. Als je een /24 wilt laten weghalen dan zou je moeten bewijzen dat de eigenaar van deze block(/24 of hoger als je externe BGP routing wilt doen en dit is pas waar RIPE zeggenschappen heeft) iets fout heeft gedaan. Wat vaker is is dat ze naar cloud providers stappen en zeggen "Hey hey, deze zijn slecht stop hier mee", want die is veel makelijker dan naar RIPE toe stappen om de designaties van bedrijven weg te halen.

Dit kan ik niet in het rapport vinden wat ze in deze situtatie precies hebben gedaan, maar hoewel je inderdaad well naar RIPE/ARIN/APNIC zou kunnen stappen voor dit soort dingen is dat hetzelfde als toen Ukraine vroeg of ICANN de russiche top level domains weghaald(1), dat doen ze niet zomaar. Het is dus vaker dat deze IP's aan de service kant weg worden gehaald, want bad actors hebben vaak ook niet hun eigen blocks/ASN.

PS: Een route object weghalen zonder de MNT van de daarbijhorende inetnum/inet6num zou niks doen, want de persoon heeft dan nog een recht om dat object gewoon opnieuw te maken(Want volgens de DB zijn zij nog gewoon de eigenaar). En als je het inetnum/inet6num weghaald dan pak je eigenlijk gewoon de range af

[1]. https://arstechnica.com/t...perts-say-its-a-bad-idea/

[Reactie gewijzigd door Stetsed op 7 november 2024 11:25]

In de meeste gevallen zal het gaan om een gehuurd IP adres en niet om een heel subnet.
Dus ze zullen dan eerder de ISP/Provider vragen om de klant de blockeren, en het IP the blackholen.
Dan is het in essentie ook niet meer actief op het internet.
Iemand is ook eigenaar/huurder van IP-adressen, die houdt het contact met de registratie autoriteit. Maar de juridische, werkelijke autoriteiten kunnen natuurlijk ook beslag leggen op dergelijke 'goederen' wanneer ze bij misdaad betrokken zijn. Net als geld bevroren kan worden op rekeningen en domeinen in beslag genomen kunnen worden, lijkt me dit een administratief bevel met mandaat...
Ik vind de titel vrij apart maar zie dat ie 1 op 1 is overgenomen van Interpol. Ja haalt servers offline, geen IP adressen.
Zoals @Ulysses noemt kunnen IP-adressen ook gevorderd worden.
Dit is toch gewoon kwestie van de servers in beslag nemen die achter die malafide IP adressen draaien. Plus de betrokken mensen arresteren.
Beide zijn lastig als die zich fysiek in een land bevinden dat niet meewerkt.

Een beetje server kan overigens iets aanbieden via een IP-adres dat niet de reguliere internetverbinding is en tegelijkertijd via iets als Tor (via een andere uitgaande verbinding). Dat in bepaalde gevallen enkel IP-adressen zijn gevorderd houdt niet in dat de betreffende diensten offline zijn.

[Reactie gewijzigd door The Zep Man op 7 november 2024 08:36]

Nederland was toch het knooppunt van cyber crime. Maar staat niet in dit lijstje?
Wat maakt deze data anders dan wat hier wordt gehost

[Reactie gewijzigd door Hvs6 op 7 november 2024 07:47]

We zijn ook een groot knooppunt ja, maar dat wil natuurlijk niet zeggen dat er bij elke groepering ook meteen Nederlandse gebruikers (of, zoals in dit geval, IP-adressen) betrokken zijn.

Als je in dit lijstje kijkt lijkt de nadruk met name op Azië gelegen te hebben (Hong Kong, Macau, Mongolië). Bij andere acties zijn vaak weer diverse Europese, Afrikaanse en Amerikaanse landen betrokken.

Verder zijn dit soort acties uiteraard prima. Dat ze maar flink druk op dit soort organisaties blijven zetten en veel netwerken op blijven rollen. Er zijn nog teveel slachtoffers van dit soort groeperingen helaas.
Ik host een populaire app en wij hebben veel last van scammers uit bovenstaande landen. Het gaat dan echt om van die scamfarms met tientallen mensen die zich voordoen als normale gebruikers, maar dan uiteindelijk toch geld en persoonsgegevens proberen los te peuteren. Ik ben benieuwd of we straks een afname zien van het aantal scammeldingen.
Ik host een populaire app en wij hebben veel last van scammers uit bovenstaande landen.
Als je last hebt van veel scammers uit die landen en je weet dit, waarom zou je dan niet die landen blokkeren? Is de winst uit die landen groter dan de kosten van de scams?
We hebben China, India, Madagaskar en een aantal andere landen geblokkeerd; maar via VPN diensten mensen ze zich tussen regulier verkeer :(
"In Estland heeft de politie meer dan 80GB aan serverdata in beslag genomen" indrukwekkend...
GB zegt inderdaad niet veel. Kan belangrijk zijn of niet. Maar blijkbaar moest het interpol PR bericht gevuld worden en was deze metadata niet gevoelig.
80GB aan logbestanden is best veel ;)
Om te onderzoeken wel, maar voor wat een platform genereert is het peanuts.

Wij bedienen ca 40.000 mensen met ons platform en genereren per dag minimaal 10GB aan logdata.
Dan heb je het over performance analytics, exception data, request data etc.
En dat hebben we zelfs getuned omdat de kosten uit de pan begonnen te rijzen.
Zetten we traces aan, loopt het al rap op naar 25GB en meer per dag. Maar dat doen we alleen als we issues hebben welke we in detail moeten analyseren.

Microsoft geeft zelfs pas korting als je minimaal 100GB per dag verwerkt. Dan heb je het over €6500 per maand aan logkosten :o )
De hoogste korting (37%) krijg je pas als je 50TB per dag of meer verwerkt.
Dus 1 Blu-ray film of 50 bibliotheken aan documenten :+
Op zich zegt het weinig. Als aan ip adres a.b.c.d. een "vuile" server hangt, kan er aan dat ip adres een dag later weer een andere server "hangen". Als het een virtuele hoster is, betreft is het offline halen slechts een shutdown commando in een VM, de image backuppen voor justitie en een nieuwe VM klaarzetten, al dan niet met het gewenste OS pre installed. Niets weerhoud de volgende crimineel om een nieuwe "vuile" server op te starten.

Een half jaar later o.i.d. komt de volgende opruimronde waarin de een of andere LEO weer trots zegt dat er N duizend hosts offline zijn gehaald.
Met versplintering wordt het weliswaar kleiner, maar ontstaan er ook minder slachtoffers. Uitroeien gaat nooit lukken, dat is een utopie, helaas.
Wat is nou je punt? Want dat mis ik in je bericht...

Moeten we het criminelen maar niet meer moeilijk proberen te maken ofso? Is het niet met elke crimineel (digitaal en offline) gewoon een kat en muisspel?
Waar je ziet dat het bedrijf Kaspersky in de meeste Westerse landen door overheden wordt geweerd vanwege de mogelijke invloed van de Russische overheid op het Russische bedrijf. Zie je dat Interpol nog wel samenwerkt met Kaspersky in deze operatie (april-augustus 2024)
During Operation Synergia II, INTERPOL worked closely with its partners, Group-IB, Trend Micro, Kaspersky and Team Cymru, utilizing their expertise in tracking illegal cyber activities to identify thousands of malicious servers.
Ik denk zal eens in de firewall kijken, en waar de block list normaliter een grote rode pagina is vol met chinese vlaggetjes is het nu een meer gemixd beeld van landen. Zou het dan toch eindelijk een keer gelukt zijn om een goede slag toe te brengen daar?

Ik zeg vooral doorgaan, pak gewoon de bekende banlijsten erbij en rooien maar al die ip's/servers.
Wat gaat er nu gebeuren met deze ip adressen? Worden ze later weer opnieuw aangeboden en verkocht? Stel je koopt toevallig iets uit de lijst of een blok aan, hoelang blijven deze dan op de zwarte lijst staan?

Ik stel mij gewoon de vraag als je later een ip of blok nodig hebt en aankoopt, hoeveel invloed dit nog kan hebben op de werking van je aangeboden diensten en onderneming.
Vraag mij even af wat men doet als je dus per ongeluk gehacked zou zijn en dan vanuit je prive IP adres mallware verstuurd word. Kan mij zo voorstellen dat je dan het risico loopt dat opeens Interpol bij je aan de deur staat. En ja in hoeverre waren die servers misschien ook niet gehacked en min of meer onschuldigen nu opgepakt zijn.
"Chinese Hong Kong" en het "ook in China" gelegen Macau, wauw, Tweakers kan geen duidelijker standpunt innemen over deze kwestie. :O
Kun je wat toelichting geven?
De inwoners van Hong Kong zien zichzelf nauwelijks als onderdeel van China. De grip en onderdrukking vanuit mainland neemt de afgelopen jaren fors toe, zie ook de protesten van enkele jaren geleden. Hong Kong is een beetje Taiwan-lite zou je kunnen zeggen.
Dit is niet de plek voor een politieke discussie over het volk her en der over de wereld, eventuele mondiale spanningen en lokale culturele en bestuurlijke opvattingen. Dat is allemaal nogal: Offtopic
De "Speciale bestuurlijke regio Hongkong van de Volksrepubliek China" is onderdeel van China, dit wordt door geen enkel land tegengesproken en ook wil de meerderheid van de inwoners geen onafhankelijke staat worden.

Er is dus maar 1 juist standpunt. En dat is dat HongKong chinees is. Dat China wat moeite heeft om de speciale status met aparte wetten volledig te respecteren veranderd daar helemaal niets aan.

Op dit item kan niet meer gereageerd worden.