Vad är ASN och varför är de viktiga?

Ett autonomt system (AS) är en samling IP-prefix som hanteras av en enda nätoperatör, och varje AS tilldelas ett unikt ASN-nummer (Autonomous System Number). ASN gör det möjligt för dessa system att utbyta routningsinformation med hjälp av Border Gateway Protocol (BGP), vilket är nödvändigt för att dirigera internettrafik mellan nätverk.

Legitima organisationer - till exempel internetleverantörer, molnleverantörer och universitet - använder ASN för att upprätthålla autonomi över sin nätverkstrafik. Cyberbrottslingar utnyttjar dock i allt större utsträckning detta system för att få ett djupare fotfäste i internets globala routninginfrastruktur.

Utvecklingen av bulleproof hosting (BPH)

Med bulletproof hosting avses hostingtjänster som medvetet tillåter olagliga aktiviteter som distribution av skadlig kod, nätfiske, kommando- och kontrollsystem för botnät och skräppost. Dessa tjänster ignorerar ofta klagomål om missbruk och är utformade för maximal drifttid och motståndskraft, oavsett vilket innehåll som hostas.

Traditionellt har BPH-leverantörer förlitat sig på datacenter med överseende eller jurisdiktioner med svag efterlevnad.

Nu tar cyberbrottslingar en mer avancerad väg genom att registrera sina egna ASN eller kapa övergivna ASN, vilket gör det möjligt för dem att

  • direkt kontrollera IP-adressutrymme och routing

  • Snabbt distribuera och migrera skadlig infrastruktur

  • Undvika upptäckt och nedtagning på ett mer effektivt sätt

Tekniker som används av cyberbrottslingar

Cyberbrottslingar använder flera strategier för att missbruka ASN:er för bulleproof hosting:

  1. Oseriös ASN-registrering

Cyberbrottslingar skapar skalföretag och använder dem för att på ett bedrägligt sätt registrera nya ASN:er hos regionala internetregister (RIR). Dessa enheter verkar legitima men skapas enbart för att underlätta cyberbrottslighet. Livslängden på skalbolagen är cirka 12 månader, sedan upplöses de normalt på grund av juridiska skyldigheter som inte kommer att uppfyllas av den cyberbrottsling som har bildat skalbolaget.

  1. Kapning av vilande ASN

Nedlagda eller dåligt underhållna ASN är primära mål. Cyberbrottslingar kapar dem genom att förfalska dokumentation eller utnyttja föråldrade registersystem.

  1. Leasing av ASN

Vissa BPH-operatörer hyr ASN från försumliga eller medskyldiga nätoperatörer, vilket ger dem ett lager av förnekbarhet samtidigt som de använder infrastruktur som ser legitim ut.

  1. BGP med snabbt flöde (Fast-Flux)

Genom att snabbt ändra BGP-routing gör cyberbrottslingar det svårt att spåra och stänga av deras infrastruktur. Den här tekniken efterliknar DNS-metoden med snabbflöde (fast-flux), men på nätverkslagret.

Exempel från den verkliga världen

Flera högprofilerade incidenter belyser det växande missbruket av ASN:

  • Proxynätverk för bostäder: Vissa ASN som är knutna till proxytjänster har uppvisat mycket misstänkta trafikmönster och länkar till forum för cyberbrottslighet.

  • Nedan följer ett förstklassigt exempel på cyberbrottslingar som gömmer sig bakom lager av falska internetleverantörer för att hindra utredningar och kringgå ytliga granskningsprocesser:

    • aurologic GmbH (AS30823)

    • Whitelabel Solutions Ltd (AS214497)

    • Offshore LC (AS30823)

    • Dolphin 1337 Ltd (AS215208)

    • Silent Connection Ltd (AS215240)

AS215240 sticker ut som ett ihållande nav av missbruk, aktivt värd för:

  • Botnets kommando- och kontrollservrar

  • Infrastruktur för nätfiske

  • Plattformar för angrepp med brutalt våld

  • System för distribution av skräppost

  • Silent Connection Ltd och Dolphin 1337 Ltd tvångsupplöstes båda i januari 2025, men deras nätverk förblir levande och aktiva och fortsätter att underlätta cyberbrottslighet.

Dessa ASN ignorerar ofta klagomål om missbruk, vilket förstärker deras rykte som verkligt ”Bulletproof”.

Varför detta är så svårt att stoppa

Att minska ASN-missbruk är en komplex utmaning på grund av flera nyckelfaktorer:

  • Svaga granskningsprocesser under ASN-registreringen gör det enkelt för dåliga aktörer att förvärva dem.

  • Den decentraliserade styrningsmodellen för internetresurser resulterar i inkonsekvent tillsyn över regioner.

  • Juridiska barriärer gör gränsöverskridande tillsyn tidskrävande och juridiskt svår.

Hur man kan slå tillbaka och mildra

För att ta itu med denna fråga krävs samordnade åtgärder på flera nivåer:

  1. Stärka ASN-registreringspolicyn

Regionala internetregister och leverantörer i tidigare led måste införa mer rigorösa granskningsprocesser för att verifiera ASN ansökningar.

  1. Övervaka BGP för anomalier

Säkerhetsteam bör hålla ett öga på BGP routing och flagga för alla ovanliga ändringar som är kopplade till kända skadliga ASN.

  1. Samarbeta över gränserna

Förbättrat samarbete mellan internetleverantörer, register och brottsbekämpning kan hjälpa till att avslöja och stänga av BPH-nätverk.

  1. Upprätthålla information om cyberbrottslingar och ”svarta” listor

Säkerhetsorganisationer bör upprätthålla och dela utredningsinformation över ASN som är kopplade till cyberbrottslighet - ungefär som traditionella domän- eller IP-blocklistor.

Slutsats

Missbruket av ASN:er för bulletproof hosting är en skarp påminnelse om att även internets kärninfrastruktur kan användas som vapen. När angripare utnyttjar luckor i tekniska system och regelverk måste cybersäkerhetssamhället intensifiera sina insatser med smartare upptäckt, strängare kontroller och bättre global samordning.

Insatserna är höga!

Att skydda internets integritet innebär att täppa till de kryphål som gör det möjligt för oseriösa ASN att frodas.