Amerikaanse publicaties hebben dinsdag geschreven over Cloudzy, een vps aanbieder die heel verdacht overkomt. Het is niet de eerste keer dat een vps aanbieder makkelijk voorzien kan worden van het label “shady” en dat er een link is met Nederland.
KYC
De belangstelling voor Cloudzy komt door een rapport van Halcyon. Dit security bedrijf is opgevallen dat klanten de rekeningen met cryptogeld kunnen betalen. Hierdoor is het onmogelijk met zekerheid vast te stellen wie de klanten zijn.
Voor banken en anderen geldt in Amerika al jaren een KYC (Know Your Customer) eis. In de EU zijn dergelijke eisen van kracht, het gaat namelijk om mondiale afspraken. Een handvol landen weigert hier aan mee te doen. Dat zijn in alle gevallen landen waarvoor sancties van kracht zijn.
Hostingproviders hebben tot nu toe geen wettelijke KYC plicht. Het is natuurlijk wel zo dat ze – in de EU althans – de klant een factuur moeten kunnen sturen. Iets van klantgegevens is dus wel nodig. Rond de aanvraag van domeinnamen geldt ook een vorm van KYC om misbruik en inbreuken te voorkomen.
Fout verkeer
Cloudzy pretendeert twee vestigingen in Amerika te hebben. Volgens Halcyon en anderen zijn dat niet meer dan postadressen. De business staat op naam van een ondernemer uit Iran. Alleen al daarom zijn in de pers alle alarmbellen afgegaan. Vervolgens blijkt dat de huidige en de vorige naam van het bedrijf opvallend vaak voorkomt bij het traceren van fout verkeer.
“Cloudzy has been facilitating copious quantifies of illicit online activity, comprising an estimated 40% to 60% of all its traffic”.
Ook valt her en der de beschuldiging te lezen dat het bedrijf opereert als een bulletproof hoster – het type bedrijf dat klachten over klanten afwimpelt en daarmee alle mogelijke cybercriminaliteit de ruimte geeft.
Foute klanten
Dit soort hosters staat zeker in de EU en Nederland al langer hoog op de lijst van aan te pakken problemen. Vorig jaar is daar nog door de politiediensten met de sector over gecommuniceerd. Dit soort hosters en vps aanbieders weren is niet alleen nodig om “ouderwetse” cybercriminelen zoals verzenders van spam of DDoS aanvallers kunnen bestrijden.
Digitale aanvallen door niet-bevriende mogendheden hebben ook te vaak een link met dergelijke foute partijen. Halcyon biedt een “anti-ransomware” platform. Het heeft dus alles te maken met die tweede groep cybercriminelen. Het ziet een link tussen Cloudzy en ransomware bendes, maar ook onder andere:
“nation-state hackers: Advanced persistent threat groups tied to China, India, Iran, North Korea, Pakistan, Russia and Vietnam”.
Nederland
Het bedrijf waar Halcyon over is gestruikeld claimt in 15 landen actief te zijn en Nederland is er daar een van. Vanuit een datacenter in “Amsterdam” biedt het vps diensten aan en inbegrepen zijn anti DDoS faciliteiten, IP adressen en nog meer.
Waar het bedrijf zijn servers heeft ondergebracht is niet duidelijk. Wel duidelijk is dat het geen Nederlandstalige website heeft. Het zou dus kunnen dat men zich niet op lokale klanten richt. Cloudzy is in de eigen communicatie helder, ook voor capaciteit in Nederland kan men 100 procent anoniem blijven en dat is niet een beetje verdacht. Sterker nog er kan niet eens op een identificeerbare wijze betaald worden. De kans dat dit bedrijf in staat is een factuur met btw specificatie te sturen lijkt ook zeer gering.
Waarom datacenters in Nederland dit soort klanten accepteren is een vraag die politie, beleidsambtenaren en ook politici wel eens stellen. Op die makkelijke vraag is geen simpel antwoord mogelijk. Al was het maar omdat de kans bestaat dan Cloudzy zelf helemaalniet bekend is als klant van een datacenter, maar als wederverkoper optreedt. Of als wederverkoper van een wederverkoper. Lange ketens komen wel vaker voor en zijn per definitie verdacht.