Cyberbunker 2.0: keine Anklage vor Ende Februar, Server-Analyse läuft

Artikel ansehen

Die im September des Vorjahres in Traben-Trarbach sichergestellten Server des Rechenzentrums Cyberbunker 2.0 werden weiterhin ausgewertet. Die Generalstaatsanwaltschaft Koblenz teilte…

Zum Thema „Spamhaus“ welches hier auch im Thread zur Sprache kommt, sagte Sven Olaf von Kamphuis u.a. folgendes:

Hinter der offiziell gemeinnützigen Organsation soll sich angeblich nach Auskunft von Herrn K. eine Firma namens Spamtec Ktc verbergen, von einer Gemeinnützigkeit könne laut K. gar keine Rede sein.

Neben der angeblich allgemeinnützigen Organisation „Spamhaus“ gibt es tatsächlich eine Abspaltung, welche unter dem Namen „Spamhaustech“ bzw. „SpamhausTEQ“ als Ltd. firmiert ist und die Analysedaten der Organisation monitär über ein eigens dafür angelegtes Händlernetz weiterverkauft !
Weiteres dazu unter:
https://www.spamhaustech.com/

Die Begründung, warum die Verkaufstätigkeiten über das genannte Händlernetz abgewickelt werden, liefert die Seite gleich mit:

Der Spamhaus Datenfeed-Service wird nur über autorisierte Datenfeed-Anbieter verkauft. Es ist nicht möglich, diesen Dienst von oder mit dem Spamhaus-Projekt zu beauftragen, da das Spamhaus-Projekt keine kommerzielle Tätigkeit ausübt.

siehe: https://www.spamhaustech.com/vendors/

Komischerweise führt sich die Spamhaus Technology Ltd. selbst auch als Händler in der eigenen Händlerliste, was schon ziemlich obskur ist!
Dort findet man zumindest unter dieser Liste eine Anschrift, sowie Registrierungsnummer der Firma:

Company No.05078652

Spamhaus Technology Ltd

4 Old Park Lane
Mayfair,
London
W1K 1QW
United Kingdom
www.spamhaustech.com

Besonders vertrauenserweckend ist dieses gesamte Konstrukt natürlich nicht und würde auch zu den Vermutungen von Kamphuis passen…
Wahrscheinlich ist auch deshalb der lokale Standort der reinen Organisation so verschleiert worden?!

In dem Fall sollte die Presse etwas genauer sein… Natürlich sind die Ermittler mit den „200“ beschlagnahmten Servern nicht überfordert. Es ist schlicht falsch dargestellt… Ein Laie glaubt hier, dass in dem Bunker 200 physische Geräte (Server) standen. Das sind aber mit Sicherheit viel mehr… 1 Server-System besteht aus mehreren Blades und Racks… Und jenachdem welche Geräte im System integriert sind, können pro Einheit bis zu 20 HDD´s dazukommen.

Genau betrachtet werten die also nicht 200 Server aus, sondern 600-1000…

Im schlimmsten Fall könnte sogar der Begriff falsch verwendet wurden sein und die 200 Server sind eigentlich Schränke. Dann sind das sogar viel mehr als 1000 Geräte, die ausgewertet werden müssen.

So sehe ich das auch bzw. ähnlich. Man möge einfach mal an das denken, was @Alsheimer und / oder ich noch alles zu Tage geführt haben! Alleine die IP-Ranges mußten ja bedient werden. Oder das es noch Tage später Aktivität in den verschiedenen Subnetzen gab, die sogar dann wieder zunahm…etc. pp.
Im Übrigen war der Bunker nicht nur ein schlichter „bulletproof“ Provider, sondern wußte auch das Routing bis zum letzten Bit auszureizen!! Wurden bzw. werden noch die ganzen Stacks von Routern und auch die Masse an managed Switches ebenfalls mit ausgewertet??
Ebenfalls nicht nachvollziehbar ist die Meinung der Behörden, dass sich alles nur innerhalb des Bunkers abgespielt haben muß…?
Schon bei Cyberbunker 1.0 gab es damals Sicherungssysteme ausserhalb der Zentrale, oder auch nur Proxys, die fürs LoadBalancing etc. genutzt wurden…

Zur Erinnerung (ein Auszug):

Autonomous System: AS62454 (Hostverteilung)
1,004 ZYZTM

Protocol:
1,003 80/http
754 22/ssh

Tag:
1,003 http
754 embedded
754 raspberry pi
754 ssh

======================================

Autonomous System: AS29090 (Hostverteilung)
1,009 CALIBOUR GmbH, Deutschland

Protocol:
1,004 80/http
755 22/ssh

Tag:
1,004 http
755 embedded
755 raspberry pi
755 ssh

Naja…wem da nun keine Ähnlichkeiten zwischen den beiden Netzwerken auffallen, sollte mal den Optiker wechseln!! :rofl:

Die CALIBOUR GmbH, welche bislang nur für die Mail-Server von ZYZTM anscheinend zuständig war beinhaltet nun wohl das ehemalige Routing unter dem IP-Bereich:

185.103.72.0 /22

Dort in diesem Bereich schlagen bei Aufruf der einzelnen IPs auch die ursprünglichen LKA-Banner wieder an!!

Beispiele:

185.103.74.34
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI

185.103.75.6
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI

185.103.75.86
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI

185.103.75.43
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI

185.103.73.84
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI

185.103.74.254
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI

185.103.75.67
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI

185.103.73.105
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI

185.103.73.182
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI

185.103.74.155
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI

185.103.72.92
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI

185.103.73.67
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI

Hingegen der aktuelle IP-Bereich, den auch @Alsheimer hier aufführte anscheinend die neue ZYZTM Route darstellt, welche quasi 1:1 im neuen Bereich „nachgebaut“ wurde! :wink:

Stichwort: Proxy Registered Route Object

185.35.136.0 /22

Ich geh mal davon aus, dass die auch die Router und Switches auswerten. Die speichern doch mittlerweile alle Logfiles in geschützten Bereichen, wo nur der Hersteller Zugriff hat. DIe Hersteller sind sicherlich an der Auswertung mit beteiligt.

Nutzen die RasPi als Router oder Webserver? Ist natürlich keine dumme Idee, wenn es gut versteckt sein soll. So ne Platine passt ja nun in jede kleine Ecke und Spalte. Bei aktiviertem WLAN und nem Akkupack als Energiespeicher, muss man noch nichtmal Kabel verlegen.

Würde mich jemand fragen, ob der wilde Sven bis jetzt auch nur eine einzige dumme Idee hatte, dann müßte ich das wohl verneinen. Be Mobile!!! :rofl:

Ich würde eher sagen: He’s on the run. :wink:

Das sollte man mal hier mit etwas mehr Ernsthaftigkeit behandeln! :rofl: :rofl:

Bitte bedenkt, dass der Sven halt in ganz anderen Subnetzen lebt, wie der Rest der Bevölkerung - und zwar mit einer 16er Subnetzmaske !! :wink:

Die Ermittler müssen trotzdem langsam mal was vorweisen… Ohne Anklageschrift darf man einen Verdächtigen nur max. ein halbes Jahr in U-Haft halten.

Wann wurden die Beteiligten verhaftet? Es müsste ja bald das halbe Jahr rum sein…

Der Bust war am 27.09.19 (IMO) - sollte also ca. 4 Monate her sein. Bei der Razzia wurde damals niemand der Beschuldigten angetroffen. Es wurden aber dort in der Stadt (Restaurant) fast parallel 6 Personen festgenommen. Eine 7. Person in einem Nachbarort.

Haftbefehle gab es gegen vier Niederländer, einen Bulgaren und zwei Deutsche im Vorfeld - ermittelt im Vorfeld wurde gegen 12 Personen. :wink:

Die Staatsanwaltschaft hat die Möglichkeit, die U-Haft um weitere 6 Monate zu verlängern, allerdings müssten das schon besondere Umstände sein, die den Richter dazu verlassen könnten dieser Verlängerung zuzustimmen.

Ich hatte im frühen Januar gelesen, das die Staatsanwaltschaft zuversichtlich sei > gegen Ende Januar genügend Beweise vorlegen zu können > damit die Anklage zugelassen wird.
Und…
Falls das alles zu dünne sein sollte, will man eine Anklage über den Weg der Steuerhinterziehung optional in Erwägung ziehen.

Ich denke mal, diesen Weg wird sich auch die Staatsanwaltschaft Köln offen lassen, damit die ehemaligen Betreiber von Share-Online.biz seitens vom Staat dingfest gemacht werden können.
Interessant wäre ja mal zu wissen, wie eigentlich der Stand der Ding ist?!

Staatsanwaltschft, Kripo sowie GVU und die beteiligten ausländischen Behörden, die durch Hilfeersuchen mit ins Boot geholt wurden, fahren alle zusammen eine NULL INFO - Politik zur Zeit !
Was aber auch verständlich ist, da ja noch Fahndungen aktuell laufen nach diversen Hintermännern…
Diese scheinen wohl ziemlich tief mit involviert zu sein und werden wohl dringend für weitere Ermittlungen und den Verfahrensaufbau benötigt!
Ich vermute mal, dass sich diese Story noch um einiges länger hinziehen wird, bevor dort Infos an die Öffentlichkeit dringen! :wink:

1 Like

Demnach könnten die drei Betreiber auch nur Strohmänner gewesen sein :thinking:
Oder geht es um diese sogenannten Hintermänner von Admin´s von den Plattformen und Foren wie von DDL-Warez, Boerse, Movie-Blog und MyGully, die aktiv von den Betreibern von SO.biz mit finanziert wurden :thinking:

Ich wäre dir durchaus dankbar, wenn du hierzu etwas genauer werden könntests, gerne auch als reine Vermutung :smiley:

Es geht zumindest um Hintermänner, die im Ausland organisatorisch und administrativ gewerkelt haben, im direkten Zusammenhang zu SO !
Dort wurden ja zum Beispiel auch Server-Kontingente bei Amazon etc. hinzugemietet, eingerichtet usw.
Und noch einige andere Dienste, Server in verschiedenen Ländern…

1 Like

@VIP Woher willst Du das wissen?

Ja, ganz klar embedded, unser @VIP :joy:

@VIP, wie schaut es heute aus an der Front? Was können wir die nächsten Tage erwarten? Gibt es Feindbewegungen? :rofl: :rofl: