Cyberbunker 2.0: Traffic von mehr als 2.300 IP-Adressen nach Abschaltung

Nachdem der „Bulletproof-Hoster“ und dessen Cyberbunker 2.0 im rheinland-pfälzischen Traben-Trarbach bereits im September 2019 vom Netz genommen wurden, verzeichnen Forscher noch immer sehr hohe Zugriffszahlen auf den IP-Adressraum des ehemaligen NATO-Bunkers. Über 2.300 IPs konnten innerhalb von 14 Tagen gesammelt werden.

2.300 IP-Adressen kontaktieren den Bunker noch immer

Die Sicherheitsforscher Karim Lalji und Johannes Ullrich der mit Computersicherheit befassten US-Organisation Internet Storm Center (ISC) des SANS-Instituts, das die Anzahl bösartiger und schädlicher Aktivitäten im Internet überwacht, haben gemeinsam mit dem Unternehmen Legaco Networks B.V. den IP-Adressraum des ehemaligen Cyberbunker 2.0 des gleichnamigen niederländischen „Bulletproof-Hosters“ als Honeypot aufgestellt und zwei Wochen lang den Traffic analysiert.

Über die IP-Adressräume 185.103.72.0/22, 185.35.136.0/22 und 91.209.12.0/24 konnten die Sicherheitsforscher Lalji und Ullrich innerhalb von 14 Tagen über 2.300 IP-Adressen von ehemaligen Kunden sowie von neuen Interessenten zuordnen, die ihre Anfrage für Botnetzwerke und Phishing-Websites an “ZYZtm” und “Calibour”, so die im Darknet gebräuchlichen Codenamen der beiden ehemaligen Cyberbunker, gestellt haben.

Der Initiative der Internetsicherheits­organisation gelang es damit, weitere Informationen zu den verbleibenden kriminellen Aktivitäten hinter den ehemaligen NATO-Bunkern zu sammeln und diese in Form einer sehr ausführlichen Berichterstattung unter dem Titel Honeypot Forensic Investigation on a German Organized Crime Network (PDF) zu veröffentlichen.

Acht Angeklagte warten auf ihren Prozess

Das ebenfalls aus den Niederlanden stammende Unternehmen Legaco hatte einen Großteil des IP-Pools der Firma CyberBunker erworben, damit diese ihre Prozesskosten finanzieren kann.

Nach rund fünf Jahre andauernden Ermittlungsarbeiten und der anschließenden Abschaltung der Server hatte die zuständige Staatsanwaltschaft am 7. April dieses Jahres Anklage gegen die acht Tatverdächtigen erhoben.

Vier Niederländer, darunter auch der bereits einschlägig bekannte 60-jährige Betreiber und Inhaber der beiden Bunker, Herman Johan Xennt, drei Deutsche sowie ein Bulgare müssen sich demnächst vor dem Landgericht Trier verantworten.

Wie Spiegel Netzwelt am 14. Mai berichtet hat, habe der „Bulletproof-Hoster“ seine Server nicht nur an Darknet-Handelsplattformen wie den Wall Street Market, Cannabis Road und Fraudsters vermietet, die ihre illegalen Geschäfte zumeist mit dem Verkauf von Betäubungsmitteln, Waffen und Falschgeld gemacht haben; sondern auch die Server der völkisch-rechtsextremen Identitären Bewegung (IB) gehostet.

Die für die Anklage zuständige Generalstaatsanwaltschaft Koblenz ist zurzeit noch mit der Auswertung der über 400 Server aus dem stillgelegten Cyberbunker 2.0 beschäftigt. Dem Hauptdrahtzieher und den sieben weiteren Tatverdächtigen soll noch 2020 der Prozess gemacht werden.