Nederlandse Servers gebruikt op aanval Amerikaanse State Election Systems

Nederlandse Servers gebruikt op aanval Amerikaanse State Election Systems

De FBI heeft een Flash Bulletin uitgegeven met daarin 8 IP-adressen die gebruikt zouden zijn tijdens de hack op het ‘state Board of Election Website’. Deze blog voorziet in meer achtergrondinformatie over deze IP-adressen.

De 8 IP-adressen waar het om gaat zijn:

185.104.11.154 – NL – K Servers Ltd
185.104.9.39 – NL – K Servers Ltd
204.155.30.75 – US – Fremont Hosting Solution Ltd
204.155.30.76 – US – Fremont Hosting Solution Ltd
204.155.30.80 – US – Fremont Hosting Solution Ltd
204.155.30.81 – US – Fremont Hosting Solution Ltd
– 89.188.*.* – NL
5.149.249.172 – NL – Hz Hosting Ltd

Vier van deze IP-adressen zijn Nederlands. Als we verder op deze vier IP-adressen inzoomen komen de volgende gegevens naar boven:

K Servers Ltd blijkt servers te verkopen via het domein king-servers.com, de homepage staat standaard op Russisch ingesteld en ook de medewerkers (1 tot 10 volgens LinkedIn) van dit bedrijf lijken Russisch te zijn.

 

Nederlandse Servers gebruikt op aanval Amerikaanse State Election Systems

Hz Hosting Ltd verkoopt servers via het domein hostzealot.com, de homepagina kan in het Engels en Russisch worden opgevraagd. De medewerkers van het bedrijf, (11 tot 50 volgens LinkedIn) zijn voornamelijk afkomstig uit Ukraine. Het IP-adres van Duocast B.V. lijkt een zogenaamd Shared Hosting server te zijn. Dit houdt in dat diverse klanten van 1 server gebruik maken. Daardoor is het lastig te zeggen om welke specifieke klant het gaat.

Hoewel de medewerkers van king-servers.com en hostzealot.com voornamelijk uit Rusland en Ukraine komen, staat de infrastructuur van deze servers fysiek in Nederland. Volgens de FBI zijn de aanvallen op het Amerikaanse State Board of Election System dus vanaf deze IP-adressen uitgevoerd.

Verder onderzoek naar IP-adres 5.149.249.172 levert nog meer zeer interessante informatie op. Deze server blijkt namelijk ooit ingericht te zijn als mailserver voor het domain akpartl.info.tr.

 

Nederlandse Servers gebruikt op aanval Amerikaanse State Election Systems

De inrichting van deze server heeft er alle schijn van dat deze server is ingezet als phishing of spearphising server om zo gegevens van Akpartij leden te ontfutselen. Het moment dat dit domein geregistreerd is, was tijdens hoogoplopende conflicten tussen Rusland en Turkije. Het feit hierachter is dat op dit moment deze server ook wordt ingezet voor het hacken van het Amerikaanse State Board of Election Systems. Dit is opvallend te noemen en doet vermoeden dat er een politiek motief achter de aanvallen zit.

 

Nederlandse Servers gebruikt op aanval Amerikaanse State Election Systems


Op de homepagina van hostzealot.com is direct zichtbaar welke betaalmethoden er mogelijk zijn.

Nederlandse Servers gebruikt op aanval Amerikaanse State Election Systems

Wanneer dergelijke betaalmethoden mogelijk zijn, geeft dit aan dat het betreffende bedrijf zo goed als alle mogelijke betaalmethoden accepteert. Dit is voor cyber security bedrijf RedSocks een reden om een dergelijke hosting partij in de zogenaamde “BadHood” te plaatsen. Wanneer een klant van RedSocks met IP-adressen binnen deze omgevingen communiceert, levert dit diverse meldingen op. De praktijk leert ons dat veel malicious internetverkeer uit deze regionen komt.

 


Deze blog zal worden geüpdatet wanneer meer informatie beschikbaar komt.

Back to overview