كشف تحليل استخباراتي أن مزوِّد الاستضافة الألماني aurologic GmbH برز كمركز لتقديم خدمات عبور وشبكات ومراكز بيانات لعدد من شبكات الاستضافة عالية المخاطر وكيانات مرتبطة بتوزيع برمجيات خبيثة وأنشطة تضليلية وسيبرية معاقة، بما في ذلك روابط مع شبكات تضليل ومجموعات خاضعة لعقوبات، بالإضافة إلى مزوِّدي استضافة ارتبطت عيناتهم بتوزيع أدوات وصول عن بُعد (RATs) وحمّلات خبيثة ومحركات تحميل.
ما الذي تكشفه التحليلات الفنية عن دور aurologic؟
تشير البيانات إلى أن aurologic لم تقتصر خدمتها على العملاء المشروعين فحسب، بل احتوت ضمن بنيتها تركيزًا غير معتاد من شبكات تُستخدم لتشغيل بنى تحتية خبيثة أو لتوفير عبور لشبكات أخرى دُعمت سابقًا بأنشطة ضارة. تُظهر السجلات أن الشركة تُقدّم خدمات transit وcolocation لشبكات متعددة تُشغل خوادم تحكم وسيطرة، محركات تحميل، وخدمات تُستخدم لاستضافة أدوات مثل RATs وCobalt Strike وloaders — ما يحول مزوِّدًا واحدًا إلى نقطة تمركز تسهل للمسيئين استقرار بنيتهم التحتية.
خلفية الشركة وكيف أمكن أن تتبلور هذه الشبكة
تأسست الشركة في عام 2023 وقدمت عروض استضافة ونطاقات إنترنت ومراكز بيانات وميزات حماية DDoS، ما جذب عملاء متنوعين. مع توسّع نشاطها وامتداد علاقاتها التجارية مع مزوِّدي استضافة أصغر، تشكلت لديها سلاسل توريد شبكية تُسهِّل على جهات الطرف الثالث (بما فيها فِرق استضافة أصغر ووسطاء نطاقات) إمكانية توظيف عناوين IP ونطاقات لاستضافة نشاطات مشبوهة أو التحايل على إجراءات الحجب. باختصار، الجمع بين خدمات النقل والكوكلوكايشن وفرص إعادة التوجيه يوفر بيئة مناسبة لتركيز نشاطات عالية المخاطر.
الدلالات الأمنية والسياساتية — لماذا يهم هذا صانعي القرار؟
أولًا، تركّز مثل هذه البُنى التحتية داخل مزوّد أوروبي يعرقل آليات الحجب والإزالة الدولية لأن المسيئين يمكنهم التنقّل أو إعادة استضافة خدماتهم بسرعة عبر شبكات متصلة. ثانيًا، ارتباط البنية بكيانات ارتُبطت بأنشطة توزيع برمجيات خبيثة أو توفير خدمات “bulletproof” يجعل من المزود هدفًا رقابيًا ومتابعة تنظيمية، ويتطلب تدخل الجهات المسؤولة لتقييد تمكين هذه الشبكات. ثالثًا، على صعيد الدفاع المؤسسي، يعني هذا أن فرق الأمان تحتاج لتوسيع رؤية التهديدات لتشمل تقييم سلاسل التوريد الشبكية (network supply chain) ومراقبة مقدّمي الخدمات الوسيطين والعلاقات التجارية بين مزوّدي الاستضافة، وليس الاقتصار على حجب عناوين IP فردية أو نطاقات منفردة.
توصيات عملية للجهات الرقابية والمؤسسات
-
توسيع آليات الاستقصاء والتنسيق عبر الحدود لتحديد وتحليل علاقات الاستضافة والتبعية بين مزوّدي الخدمة.
-
فرض معايير امتثال وشفافية أقوى على مزوّدي الكوكلوكايشن وtransit، بما في ذلك التحقق من العملاء ومراقبة نشاطات الحزم المشبوهة.
-
اعتماد سياسات إزالة سريعة وخيارات تنسيق بين مزوِّدي البنى التحتية والمنظمات الأمنية لتقليل زمن دوام البِنى التحتية الخبيثة.
-
للمؤسسات: إدراج تقييم مزوّدي الاستضافة ضمن تقييم إدارة المخاطر، ومراقبة الاتصالات الصادرة إلى شبكات مُعرفَة بوجود نشاطٍ خبيث، وتطبيق قواعد حظر ديناميكية استنادًا إلى سلوك البنية التحتية وليس فقط على عنوان IP ثابت.
