AS53889 Micfo blacklisten is geen optie maar noodzaak

Juli 2018 verdient een plek in de jaaroverzichten omdat het de maand is waarin de cloud provider Micfo, LLC door de mand viel. In plaats van zomaar een cloud aanbieder bleek het de uitvalsbasis te zijn voor een groep cybercriminelen die blogspamming voor casino’s als businessmodel hebben.

Micfo (AS53889) doet zich voor als een moderne cloud aanbieder die de diensten vanaf tientallen plekken in de wereld en datacenters aanbiedt. Het aanbod is in elk van de landen gelijk, dat moet het klanten makkelijker maken het eigen aanbod te kopiëren en zo een virtuele local presence te hebben in plaats van fysieke aanwezigheid in de verschillende landen. Micfo heeft geen eigen datacenters, het huurt ruimte bij partijen als Digital Realty en andere grote spelers op alle bewoonde continenten. Ook het datacenter van Verizon in Schiphol, dat de telco van DR huurt, is een van die plekken.

Micfo heeft een ongekend groot aantal IP adressen in beheer voor de mondiale dienstverlening. Daarbij valt direct op dat het om kleine blokken gaat. Het zijn vooral /24s die het beheert, dus 255 opvolgende IP adressen. Dat zal deels komen omdat het een betrekkelijke nieuwkomer op de markt is en daardoor geconfronteerd wordt met de schaarste aan IPv4 adressen.

Het hebben van kleine IP reeksen hoeft geen nadeel te zijn voor de dienstverlening. Er is zelfs een groep gebruikers die daar heel blij mee zal zijn, dat zijn spammers. Zijn hebben er baat bij allemaal verschillende IP adressen en blokken te gebruiken omdat acties vanuit een groot aantal reeksen minder snel opvallen. Dat is in ieder geval de theorie en de naam die daarbij hoort is snowshoe spamming. Spammers die op deze manier actief zijn integraal blokkeren is erg lastig omdat er zoveel IP reeksen zijn.

Micfo is met ruim 440 (!) kleinere IP reeksen een zeer interessante partij voor cybercriminelen, zoals spammers. Dat is afgelopen maand duidelijk geworden. Honderden mails per dag per blog met keer op keer andere reeksen die allemaal naar AS53889 Micfo verwezen. Op abuse meldingen is niet gereageerd. Pas na 11 dagen kwam via Twitter het verzoek een bewijs van de spamruns te tonen met de ongeloofwaardige melding dat ze het aan het uitzoeken waren. Ongeloofwaardig, want de omvang van deze actie was dusdanig groot dat er veel meer klachten moeten zijn geweest.

Het niet actief en snel reageren op deze overlast kan op twee manieren worden verklaard. De eerste is dat Micfo op ongekend grote schaal is gehackt en misbruikt zonder dat men het in de gaten heeft gehad. Dat kan bijvoorbeeld via de registratieserver zijn gebeurd, waardoor de cybercriminelen eindeloos en ongehinderd accounts konden aanmaken. De andere verklaring kan iedereen verzinnen: Micfo is passief omdat het faciliteren van cybercriminelen deel van de business is.

Welk van de twee verklaringen de juiste is blijft vooralsnog onbekend. Het verdiepen in het bedrijf heeft ook verder geen zin. Het blokkeren van alles dat onder AS53889 valt is monnikenwerk maar scheelt wel een hoop ergernis en serverbelasting.

En als service wordt een csv file met de registraties onder AS53889 gedeeld, want voorkomen is beter dan genezen.

Share: