出典:Shutterstock / Viktollio
オランダ当局が最近実施した防弾ホスティングネットワーク解体作戦は、その継続的な悪意ある活動をほとんど妨げられなかったようであり、テイクダウンへの取り組みに対する現代のサイバー犯罪インフラの耐性が改めて浮き彫りになった。
5月18日、オランダ財務省の財政犯罪サービス(FIOD)は800台以上のサーバーを押収し、欧州連合内でのロシアのサイバー犯罪および影響工作と関連するネットワーク「THE.Hosting」に関係する2人を逮捕した。
THE.Hostingのスキャン活動、依然として衰えず
しかし、プラハを拠点とする脅威インテリジェンス企業ELLIOの研究者によれば、1週間以上が経過した現在もネットワークからのスキャン活動はほぼ摘発前と同水準を維持しているという。
ELLIOは今週公開したレポートの中で「このトラフィックは広範かつ日和見的な攻撃とボットネット構築が目的だ」と述べている。「IoTデバイスをボットネットに組み込み、クリプトマイナーや自己複製ボットを展開し、クラウド認証情報を窃取し、公開されたウェブアプリケーションを悪用し、第三者への攻撃にプロキシ容量を流用している。」
THE.Hostingは、研究者たちが2022年にロシア人の個人登録者によって管理されていたインフラにまで遡って追跡する防弾ホスティングネットワークの最新形態だ。2022年2月にロシアがウクライナに侵攻した直後、その個人はネットワークの自律システム番号(ASN)であるAS44477を、Stark Industries Solutionという新設会社に譲渡した。ASNとは、ネットワークのIPアドレスブロックに割り当てられた番号であり、インターネット全体に対してそのアドレス宛のトラフィックをどのように経路制御するかを示すものだ。
2025年にEUがStark Industriesに制裁を科すと、運営者はAS44477をPQ Hosting Plus S.R.L.という別の新設会社に移転した。その後さらにTHE.Hostingへとリブランドし、オランダ企業WorkTitans B.V.傘下の新たなネットワークAS209847へと活動を移した。ELLIOによれば、こうした一連の動きの結果、ロシア系の防弾ホスティングネットワークがEUのデータセンター内に置かれ、ロシアではなく正規のオランダ企業を経由してインターネットに接続されるという状況が生まれた。
同社の沿革は「制裁を逃れるためのリレー競走のようだ」と、この脅威インテリジェンス企業は関連するブログ投稿で述べている。「私たちのハニーポットのテレメトリーでは、この企業間の連携が自律システム間の移行として明確に記録されている。自律システムとは、IPアドレス空間をインターネットにアナウンスする番号付きネットワークのことだ。」
ELLIOによれば、旧Stark/PQネットワークは2025年夏にかけてスキャンを主導し、8月30日に「最後の巨大な一撃」を放った。その活動が沈静化すると、THE.Hostingが代わりに急速に活発化し、2025年11月・12月には月間200万件以上のスキャンセッションを記録した。
しぶとく、したたかな敵
防弾ホスティング(BPH)サービスは、サイバー犯罪者、ランサムウェア運営者、その他の脅威アクターに対して意図的にインフラを提供するものだ。こうしたサービスは通常、複数の法域をまたいで運営され、不正利用の申告を無視し、法執行機関に協力しないため、当局がインフラを借り受ける犯罪者に対して行動を起こすことを困難にしている。サイバー犯罪者はこうしたサービスを利用して、テイクダウンの試みを回避しながらマルウェアのホスティング、ボットネットの運営、スパムの配信、サイバー攻撃の実行を行う。
ELLIOによれば、旧Stark/PQネットワークを利用していた脅威アクターは主に、ウェブサーバー、SSHアクセス、FTPファイル転送、Windowsファイル共有などのサービスで弱いパスワードやデフォルトパスワードを使用しているシステムの発見に注力していた。
THE.Hostingに関連するスキャン活動はより広範で、データベースや産業制御システム(ICS)が対象に含まれているため一層懸念される。ELLIOの研究者たちは、公開されたMongoDB、Redis、PostgreSQL、Oracleデータベースへの探索行為に加え、電力網、水道システム、その他の産業施設で一般的に使用されるプロトコルであるDNP3およびEtherNet/IPへのスキャンも観測したと述べている。
ELLIOのCEOであるVlad Iliushin氏は、Stark Industries、PQ Hosting、THE.Hostingの運営者が欧州の重要インフラへの繰り返しの分散型サービス拒否(DDoS)攻撃に公的に関与していると指摘している。また、親ロシア派グループNoName057(16)に帰属する活動や、2025年11月の選挙期間中のデンマーク政府システムへの攻撃を含む偽情報キャンペーンとの関連も指摘されている。
Iliushin氏は、今回のオランダ当局の作戦がTHE.Hostingにほとんど影響を与えなかった理由として2点を挙げている。第一に、ラックから物理的なサーバーを取り外しても、そのサーバーが使用していたアドレス空間は失われないという点だ。
「そのアドレスブロックは欧州地域インターネットレジストリによって引き続き運営者に割り当てられており、BGP経由でアナウンスされ続けている。運営者が別のデータセンター、別の国でそれらのアドレスの背後に新しいハードウェアを設置すれば、スキャンは再開される」とIliushin氏は述べ、オランダ当局は法的に差し押さえ可能なものを差し押さえたが、BGPブラックホーリングは実施されなかったと指摘する。
もう一つの理由は、オランダ企業WorkTitans B.V.名義で登録されたTHE.Hostingのアドレスブロックが、オランダ、米国、ドイツ、フィンランド、トルコ、英国、フランス、モルドバ、ポーランド、カザフスタン、チェコ、ラトビアにまたがってジオロケーションされている点だ。「つまり、私たちが観測しているスキャンはAS209847に割り当てられたアドレスブロックを発信源としているが、必ずしもオランダから来ているわけではない」と同氏は述べる。
THE.Hostingのような組織を完全に解体するための最善のシナリオは、EU全域および米国の法執行機関が連携し、AS209847に属するすべてのアドレス空間をブラックホール化することだとIliushin氏は指摘する。
「FIODはオランダのデータセンター内のサーバーを家宅捜索したため、オランダ国内でTHE.Hostingおよびそのユーザーがホスティングしていたインフラは影響を受けた」と同氏は言う。「しかし、正規のホスティングプロバイダーと同様に、THE.Hostingはオランダだけでなく複数の国でVPSを再販しており、他の国でホスティングされているインフラは影響を受けていない。」
翻訳元: https://www.darkreading.com/cyber-risk/dutch-raid-russian-bulletproof-host
