Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Mikołajki z sekurakiem! od 2 do 8 grudnia!
Nadzór hostingu czy podwykonawców? “Złośliwe” usługi w Aurologic?
Na początku listopada badacze z Insikt Group® udostępnili raport z analizy niemieckiego dostawcy usług hostingowych – Aurologic GmbH, który miał pośrednio dostarczać infrastrukturę do nielegalnej działalności.
Firma działa w ramach Tornado Datacenter GmbH & Co. KG w Langen w Niemczech, świadcząc usługi centrów danych dla wielu podmiotów. Według badaczy dużo z nich należy do kategorii wysokiego ryzyka, gdyż w ich ocenie umożliwiają oni nielegalną działalność w ramach wykorzystywanej infrastruktury.
TLDR:
- Badacze pokazali, jak firma Aurologic pośrednio dostarcza infrastrukturę wykorzystywaną przez “złośliwe” podmioty TAEs (threat activity enablers)
- Pomimo sankcji nałożonych na firmę Aeza, Aurologic pozostał jej głównym dostawcą usług
- Aurologic nie prowadzi bezpośredniego nadzoru, przerzucając odpowiedzialność na pośredników, umożliwiających działanie złośliwego oprogramowania i kampanii dezinformacyjnych
- Prezes stwierdził, że reaguje na formalne zgłoszenia organów ścigania, ale nie prowadzi proaktywnego monitoringu potencjalnie nielegalnych działań.
Wśród tych klientów znajdują się m.in. Metaspinner Net GmbH, Femo IT Solutions Limited, Global-Data System IT Corporation, Railnet LLC oraz niedawno objęta sankcjami grupa Aeza International Ltd.
Firma Aurologic, założona w październiku 2023 r. w ramach rebrandingu Combahton GmbH, reklamuje się jako europejski operator o dużej przepustowości, oferujący serwery dedykowane, rozwiązania chmurowe, kolokację serwerów i usługi ochrony przed atakami DDoS.
Jak wskazują badacze, firma stała się podmiotem umożliwiającym funkcjonowanie złośliwym usługom działającym na całym świecie. Szacują, że około połowa adresów IP Aeza jest kierowanych wyłącznie przez Aurologic, co świadczy o istotnej roli tego dostawcy.
Aeza, czyli rosyjski dostawca usług hostingowych, została w lipcu 2025 r. objęta sankcjami przez Biuro Kontroli Aktywów Zagranicznych (OFAC) USA oraz brytyjską Krajową Agencję ds. Przestępczości. Powodem miał być udział we wspieraniu ransomware BianLian, infostealerów Lumma i Meduza oraz operacji RedLine Stealer. Właściciele zostali także aresztowani przez rosyjskie władze za udział w BlackSprut – serwisie do handlu narkotykami w darknecie.
Firma Aurologic miała pomimo sankcji pozostać głównym dostawcą usług dla Aeza. Oprócz niej infrastruktura Aurologic obsługuje wiele innych podmiotów wspierających złośliwe usługi (threat activity enablers – TAEs).
Femo IT Solutions Limited, rozgłaszająca dwa zakresy (/24) adresów IP, koncentruje zaskakująco dużo złośliwej infrastruktury w stosunku do swojej wielkości, utrzymując serwery C2 dla Cobalt Strike, DcRat oraz wielu stealerów.
Jedenaście aktywnych zakresów Global-Data System IT Corporation jest kierowanych wyłącznie przez Aurologic bez żadnej dywersyfikacji, co sprawia, że niemiecki dostawca może stanowić SPOF (single point of failure) dla całej sieci.
Dostawcy hostingu tacy jak Aurologic przenoszą odpowiedzialność za działania usług na pośredników i ich klientów. Wynika to z faktu, że złośliwa infrastruktura nie trafia na serwery firmy bezpośrednio, tylko przez inny podmiot (TAE). Takim podmiotem może być np. firma oferująca VPSy na wynajętym w Aurologic serwerze dedykowanym. W efekcie dostawca (tu Aurologic) interweniuje tylko wtedy, gdy jest do tego zobowiązany prawnie i nie sprawuje bezpośredniego nadzoru nad serwerami
Podczas spotkania z niemiecką redakcją śledczą CORRECTIV w czerwcu 2024 r. prezes Aurologic Joseph Hofmann stwierdził, że podejmuje działania wyłącznie po otrzymaniu formalnego zawiadomienia od organów ścigania.
Opisał swoją pozycję jako oczekiwanie na “korespondencję od służb”, a nie proaktywne reagowanie i szukanie wzorców nadużyć. Taka struktura umożliwia utrzymanie części złośliwych operacji, czyniąc Aurologic istotnym elementem infrastruktury do działalności cyberprzestępców i kampanii dezinformacyjnych.
Praca badaczy pokazuje, jak “zwykłe” firmy hostingowe mogą funkcjonować jako infrastruktura dla podmiotów TAEs. Poprzez udostępnianie zasobów firma Aurologic stała się pośrednikiem umożliwiającym działanie zarówno złośliwego oprogramowania, jak i kampanii dezinformacyjnych.
Model świadczenia usług tworzy niejasny podział odpowiedzialności za usługi na serwerach dedykowanych/kolokowanych, co powoduje że dostawca hostingu nie musi sprawować bezpośredniego i proaktywnego nadzoru nad klientem – który może mieć charakter TAE.
Pełną analizę i sieci powiązań między podmiotami i Aurologic można przeczytać w obszernym raporcie badaczy z Insikt Group, dzięki któremu ten tekst mógł powstać.
Źródła:
~Tymoteusz Jóźwiak
