Ένα κινέζικο δίκτυο οργανωμένου εγκλήματος, που συνδέεται με ξέπλυμα χρήματος και εμπορία ανθρώπων στη Νοτιοανατολική Ασία, χρησιμοποιεί μια προηγμένη «τεχνολογική σουίτα» για τη διαχείριση όλου του supply chain στο διαδίκτυο.
Το Infoblox παρακολουθεί τον ιδιοκτήτη και διαχειριστή, γνωστό ως Vigorish Viper, επισημαίνοντας ότι αυτή η συμμορία αναπτύχθηκε από τον όμιλο Yabo (γνωστός και ως Yabo Sports), ο οποίος έχει συνδεθεί με παράνομες δραστηριότητες τζόγου και pig butchering απάτες στο παρελθόν. Στα τέλη του 2022, μετονομάστηκε σε Kaiyun Sports και έκτοτε ενσωματώθηκε σε μια νέα οντότητα με την επωνυμία Ponymuah.
Δείτε επίσης: Νέα κακόβουλα πακέτα αποκαλύφθηκαν στο NuGet Supply Chain Attack
Η συμμορία, γνωστή στην Κίνα ως “baowang” (“包网,” που σημαίνει πλήρες πακέτο), περιλαμβάνει διάφορα στοιχεία όπως διαμορφώσεις domain συστημάτων (DNS), φιλοξενία ιστοσελίδων, μηχανισμούς πληρωμών, διαφημίσεις και εφαρμογές κινητών.
Αυτή η επιχείρηση εξασφαλίζει χορηγίες από ευρωπαϊκούς ποδοσφαιρικούς συλλόγους, χρησιμοποιώντας εταιρείες-βιτρίνες ή επωνυμίες λευκής ετικέτας ως «force multiplier» για την προώθηση παράνομων ιστότοπων τζόγου, με στόχο την προσέλκυση περισσότερων παικτών. Τον Ιούλιο του 2023, αναφέρθηκε ότι τα λογότυπα αυτών των εταιρειών στοιχημάτων εμφανίστηκαν έως και 3.500 φορές κατά τη διάρκεια ενός τηλεοπτικού αγώνα ποδοσφαίρου.
Ο όμιλος Yabo, το Ponymuah και άλλες σχετικές παραφυάδες όπως η OB (γνωστή και ως OBGM), η DB Gaming, η Panda Sports, η KM Gaming και τα Smart King Games (SKG) αποτελούν μέρος του εκτεταμένου δικτύου της Vigorish Viper. Αυτό υπογραμμίζει τη μπερδεμένη και σκοτεινή ιδιοκτησία των εταιρειών τζόγου και τα προσεκτικά βήματα που λαμβάνονται για να παρακάμψουν τον έλεγχο.
Δεν είναι μόνο οι αγγλικοί ποδοσφαιρικοί σύλλογοι που συμμετέχουν σε αυτές τις χορηγίες. Η έρευνα αποκάλυψε ότι ομάδες κρίκετ και kabaddi στην Ινδία έχουν επίσης συνάψει παρόμοιες συμφωνίες χορηγίας για την προώθηση των μαρκών Vigorish Viper.
Το δίκτυο Vigorish Viper διαχειρίζεται πάνω από 170.000 ενεργά ονόματα τομέα, αποφεύγοντας τον εντοπισμό και την επιβολή του νόμου μέσω εξελιγμένων συστημάτων διανομής κυκλοφορίας DNS CNAME, αναφέρουν οι ερευνητές του Infoblox, Maël Le Touz, Jacques Portal, Renée Burton και Elena Puga, σε αναλυτική έκθεση που κοινοποιήθηκε στο The Hacker News.
“Εκτός από τον τζόγο, τα συστήματα διανομής επισκεψιμότητας CNAME του Vigorish Viper εξυπηρετούν παράνομους ιστότοπους streaming και πορνογραφίας. Μερικοί από τους τομείς που χρησιμοποιούνται για streaming είναι τομείς μακροχρόνια καταχωρημένοι, τους οποίους η Vigorish Viper κατέλαβε μετά τη λήξη της αρχικής εγγραφής,” εξηγούν οι ερευνητές.
Ο Renée Burton, αντιπρόεδρος του τμήματος πληροφοριών απειλών στο Infoblox, περιέγραψε τον παράγοντα απειλών ως “μία από τις πιο εξελιγμένες και σημαντικές απειλές για την ψηφιακή ασφάλεια που έχει ανακαλυφθεί μέχρι σήμερα.” Σύμφωνα με τον Burton, “Η Vigorish Viper έχει δημιουργήσει μια πολύπλοκη υποδομή με πολλαπλά επίπεδα συστημάτων διανομής κυκλοφορίας (TDS) χρησιμοποιώντας εγγραφές DNS CNAME και JavaScript, καθιστώντας τον εντοπισμό της εξαιρετικά δύσκολο. Αυτά τα συστήματα συμπληρώνονται από κρυπτογραφημένες επικοινωνίες και προσαρμοσμένες εφαρμογές, καθιστώντας τις δραστηριότητές τους όχι μόνο άπιαστες αλλά και εξαιρετικά ανθεκτικές.”
Η τεχνική που χρησιμοποιεί η Vigorish Viper περιλαμβάνει την ανακατεύθυνση της επισκεψιμότητας μέσω εγγραφών DNS CNAME, μια μέθοδο που είχε χρησιμοποιηθεί προηγουμένως από άλλους επιθέτες DNS, όπως το Savvy Seahorse. Επιπλέον, το σύστημα μπορεί να διαφοροποιεί διευθύνσεις IP κατοικίας, κινητής τηλεφωνίας και εμπορίου στην Κίνα.
Διαβάστε περισσότερα: Κίνα: Ετοιμάζει πρόσκρουση διαστημικού σκάφους σε αστεροειδή
Τον Ιανουάριο, η πρωτοβουλία του Δανικού Ινστιτούτου Αθλητικών Σπουδών “Play the Game” αποκάλυψε συνδέσεις μεταξύ δεκάδων ευρωπαϊκών ποδοσφαιρικών συλλόγων και παράνομων εμπορικών σημάτων τζόγου που σχετίζονται με το Yabo και στοχεύουν περιοχές όπως η Κίνα, όπου ο τζόγος απαγορεύεται και θεωρείται οργανωμένο έγκλημα.
Τα διαδικτυακά εγκλήματα δεν περιορίζονται μόνο στον ψηφιακό χώρο. Περιλαμβάνουν επίσης την εμπορία ανθρώπων, όπου άτομα παρασύρονται με την υπόσχεση υψηλά αμειβόμενων εργασιών και εξαναγκάζονται να υποστηρίξουν προγράμματα αθλητικών στοιχημάτων και να προωθήσουν απάτες όπως τα “pig butchering” και άλλες απάτες με κρυπτονομίσματα, σύμφωνα με την Ασιατική Ομοσπονδία Ιπποδρομιών (ARF).
Λειτουργώντας σε ομάδες των 8-10 ατόμων, κάποιοι συντονίζονται με σχολιαστές και ραδιοτηλεοπτικούς φορείς για ζωντανές αθλητικές εκδηλώσεις (συχνά μέσω πειρατικών καναλιών) για να προωθήσουν ομάδες live streaming που διαφημίζουν στοιχηματικές ιστοσελίδες κατά τη διάρκεια αγώνων, σύμφωνα με μια έκθεση [PDF] που δημοσιεύθηκε από το ARF τον Οκτώβριο του 2023. Άλλοι λειτουργούν ως διαχειριστές σχέσεων, ενθαρρύνοντας τους πελάτες να συνεχίσουν να στοιχηματίζουν, ενώ κάποιοι δρουν ως πράκτορες πρόσληψης πελατών.
Η Infoblox ανέφερε ότι η έρευνα της για το Vigorish Viper προήλθε από έναν μόνο ύποπτο τομέα, τον kb[.]com, έναν ιστότοπο τυχερών παιχνιδιών με την επωνυμία KB Sports που χρησιμοποιεί κινεζικούς διακομιστές ονομάτων και φιλοξενεί επίσης το yabo[.]com, το οποίο αποτελεί τον τομέα για το Yabo Sports.
Μια ενδιαφέρουσα παρατήρηση είναι ότι ο ιστότοπος μπλοκάρεται γεωγραφικά για χρήστες στη Γαλλία και άλλες ευρωπαϊκές χώρες, ενώ παραμένει προσβάσιμος από την Κίνα και τις ειδικές διοικητικές περιοχές του Χονγκ Κονγκ και του Μακάο. “Όταν ο χρήστης επισκέπτεται από μια από αυτές τις περιοχές, ανακατευθύνεται σε άλλον τομέα, όπως το kb830[.]com,” σημειώνουν οι ερευνητές. “Ο τομέας ανακατεύθυνσης αλλάζει περιοδικά, και όλες οι λειτουργίες δεξί κλικ και επιλογής κειμένου είναι απενεργοποιημένες, εμποδίζοντας τις προσπάθειες για διερεύνηση ή αντιγραφή του ιστότοπου.”
Οι χρήστες του ιστότοπου βλέπουν διαφημίσεις που προωθούν οικονομικά κίνητρα για τακτικά στοιχήματα, μαζί με πληθώρα επιλογών πληρωμής, όπως WeChat Pay, EBpay, Alipay, JD Pay, KOIPay, AstroPay, YunShanFu, UniPay, Net Pay, Fast Pay και NetBank. Τα στοιχήματα τοποθετούνται μέσω πρακτόρων, οι οποίοι διαχειρίζονται τις καταθέσεις και επικοινωνούν με τους παίκτες μέσω εξατομικευμένων, κρυπτογραφημένων εφαρμογών συνομιλίας.
Μια ενδελεχής ανάλυση των αρχείων καταγραφής DNS αποκάλυψε ότι οι δραστηριότητες του Vigorish Viper υπερβαίνουν τα σύνορα της Κίνας, στοχεύοντας χρήστες σε όλο τον κόσμο. Ορισμένοι από τους αμυντικούς μηχανισμούς που ενσωματώνονται σε αυτούς τους ιστότοπους περιλαμβάνουν τακτικούς ελέγχους για σημάδια αυτοματοποιημένης δραστηριότητας και την εμφάνιση παζλ CAPTCHA στους επισκέπτες, προκειμένου να αποτραπούν πιθανές απόπειρες σάρωσης ή σύνδεσης με την υποστήριξη πελατών. Αυτή η λειτουργία εκτελείται από άτομα που έχουν διακινηθεί στη Νοτιοανατολική Ασία.
Ωστόσο, οι προσπάθειες αυτές δεν σταματούν εκεί. Οι χρήστες που επισκέπτονται τους τομείς επωνυμίας της Vigorish Viper υποβάλλονται σε πολλούς ελέγχους δακτυλικών αποτυπωμάτων για να επιβεβαιωθεί ότι η διεύθυνση IP τους είναι στην Κίνα και νόμιμη, πριν τους επιτραπεί να στοιχηματίσουν στους ιστότοπους.
Δείτε ακόμη: Η κινέζικη κυβερνοκατασκοπεία στοχεύει φορείς τηλεπικοινωνιών στην Ασία από το 2021
«Τόσο το DNS όσο και το λογισμικό συνδέουν ολόκληρη την επιχείρηση της Vigorish Viper με το Yabo Sports ή το Yabo Group», ανέφερε η εταιρεία. «Η επιρροή τους εκτείνεται σε δεκάδες, αν όχι εκατοντάδες, επωνυμίες και στοχεύει χρήστες πέρα από τη Νοτιοανατολική Ασία».
«Παρά τον τεράστιο αριθμό ονομάτων τομέα, ιστοσελίδων και συνοδευτικών εφαρμογών, και την εμφανή τους παρουσία στο κοινό, η Vigorish Viper λειτουργεί ανοιχτά και ανεξήγητα στη ΛΔΚ χωρίς ουσιαστικές συνέπειες».
Πηγή: thehackernews