Odnos između različitih TDS-ova i DNS-a povezanih sa Vigorish Viperom i konačno iskustvo sletanja za korisnika
Kineska organizacija organiziranog kriminala povezana s pranjem novca i trgovinom ljudima širom jugoistočne Azije koristi napredni “tehnološki paket” koji upravlja cijelim spektrom lanca snabdijevanja cyber kriminala kako bi predvodio svoje operacije.
Infoblox prati vlasnika i održavaoca pod imenom Vigorish Viper , napominjući da je to najvjerovatnije sinonim za Yabo Group (aka Yabo Sports), koja je u prošlosti bila povezana s ilegalnim kockanjem i prijevarama u vezi s klanjem svinja . Krajem 2022. preimenovana je u Kaiyun Sports i od tada je pripojena drugom novoformiranom entitetu pod nazivom Ponymuah.
Paket, koji se u Kini prodaje kao “baowang” (“包网”, što znači puni paket) obuhvata nekoliko komponenti kao što su konfiguracije Domain Name System (DNS), hosting web stranica, mehanizmi plaćanja, oglašavanje i mobilne aplikacije. Takođe ugošćuje hiljade imena domena i brojne brendove u infrastrukturi koja je vezana za Hong Kong i Kinu.
Preduzeće se oslanja na osiguravanje sponzorstava europskih fudbalskih klubova korištenjem lažnih kompanija ili brendova bijelih etiketa i njihovo korištenje kao “multiplikator sile” za reklamiranje ilegalnih lokacija za kockanje u regiji s ciljem privlačenja više kladioničara. U julu 2023. objavljeno je da su se logotipi kladioničarskih kompanija pojavili čak 3.500 puta tokom televizijske fudbalske utakmice.
Yabo, Ponymuah i drugi srodni ogranci kao što su OB (aka OBGM), DB Gaming, Panda Sports, KM Gaming i Smart King Games (SKG) su svi dio šire mreže Vigorish Vipera, naglašavajući zapetljano i mutno vlasništvo kompanija za kockanje i mukotrpni koraci koji su preduzeti kako bi se zaobišlo ispitivanje.
Nisu samo engleski fudbalski klubovi uključeni u ova sponzorstva, jer je istraga otkrila da su kriket i kabadi timovi u Indiji također sklopili slične sponzorske ugovore za reklamiranje brendova Vigorish Viper.
“Vigorish Viper upravlja ogromnom mrežom od preko 170.000 aktivnih imena domena, izbjegavajući otkrivanje i provođenje zakona kroz sofisticiranu upotrebu DNS CNAME sistema za distribuciju saobraćaja,” istraživači Infobloxa Maël Le Touz, Jacques Portal, Renée Burton i Elena Puga u iscrpnom izvještaju podijeljeno sa The Hacker News.
“Pored kockanja, CNAME [sistemi za distribuciju saobraćaja] Vigorish Vipera opslužuju ilegalne striming i pornografske stranice. Neki od domena koji se koriste za striming su dugo registrovani domeni koje je Vigorish Viper podigao nakon što je originalna registracija istekla.”
Burton, potpredsjednik obavještajnih podataka o prijetnjama u Infobloxu, opisao je aktera prijetnji kao “jednu od najsofisticiranijih i najvažnijih prijetnji digitalnoj sigurnosti” otkrivenih do sada.
Pregled sportske sponzorske sheme Vigorish Vipera
“Vigorish Viper je stvorio složenu infrastrukturu sa više slojeva sistema za distribuciju saobraćaja (TDS) koristeći DNS CNAME zapise i JavaScript, što ga čini nevjerovatno teškim za otkrivanje”, rekao je Burton u izjavi. “Ovi sistemi su dopunjeni sopstvenim šifrovanim komunikacijama i prilagođenim aplikacijama, čineći njihove aktivnosti ne samo nedostižnim već i izuzetno otpornim.”
U srcu tajnog poduhvata je upotreba DNS CNAME zapisa za preusmjeravanje prometa s jedne domene na drugu, tehnika koju su prethodno usvojili drugi akteri DNS prijetnji poput Savvy Seahorsea . Zatim, sistem ima mogućnost da razlikuje stambene, mobilne i komercijalne IP adrese u Kini.
Ranije ovog januara, inicijativa danskog instituta za sportske studije “Play the Game” otkrila je veze između desetina evropskih fudbalskih klubova i ilegalnih brendova kockanja koje se mogu pratiti do Yaboa i ciljane na jurisdikcije poput Kine gdje je kockanje zabranjeno i smatra se organiziranim kriminalom.
Zločini na mreži takođe imaju izvanmrežni aspekt koji uključuje trgovinu ljudima gdje su ljudi namamljeni obećanjem visoko plaćenih poslova i prisiljeni da podržavaju šeme sportskog klađenja i promoviraju prijevare u vezi s klanjem svinja i druge prijevare s kriptovalutama, prema Asian Racing Federation (ARF) .
“Radeći u timovima od 8-10, neki koordiniraju s komentatorima i emiterima sporta uživo (vjerovatno na piratskim streamovima) kako bi promovirali grupe za ćaskanje uživo koje marketing web stranice za klađenje tokom utakmica”, navodi se u izvještaju PDF koji je objavio ARF u oktobru 2023. “Drugi se ponašaju kao menadžeri odnosa kako bi ohrabrili klijente da nastave sa klađenjem, a drugi kao direktni agenti za regrutaciju kupaca.”
Koraci između trenutka kada korisnik posjeti stranicu i počne da se kladi
Infoblox je rekao da je vlastita istKoraci između trenutka kada korisnik posjeti stranicu i počne da se kladiraga o Vigorish Viperu proizašla iz jedne anomalne domene, kb[.]com – kockarske stranice pod nazivom KB Sports koja koristi kineske servere imena – koja također hostuje yabo[.]com, naziv domene za Yabo Sports.
Zanimljiv aspekt koji ovdje treba primijetiti je da je web stranica geoblokirana za korisnike koji se nalaze u Francuskoj i drugdje u Europi, ali je dostupna iz kontinentalne Kine i posebnih administrativnih regija Hong Konga i Makaa.
“Kada se posjeti iz jednog od tih područja, korisnik se preusmjerava na drugu domenu – na primjer, kb830[.]com”, istakli su istraživači. “Domena za preusmjeravanje se mijenja s vremenom. Osim toga, sve funkcije ‘desnog klika’ su onemogućene na web lokaciji, kao i odabir teksta, ometajući napore da se istražuje ili kopira stranica.”
Korisnicima na web stranici se zatim serviraju oglasi koji promovišu finansijske poticaje za redovno klađenje, uz opcije plaćanja pomoću WeChat Pay, EBpay, Alipay, JD Pay, KOIPay, AstroPay, YunShanFu, UniPay, Net Pay, Fast Pay i NetBank. Klađenje se odvija preko agenata, koji se klade, upravljaju depozitima i komuniciraju sa kockarima putem prilagođenih, šifrovanih aplikacija za ćaskanje.
Dublje ispitivanje dnevnika DNS upita takođe je otkrilo dokaze da aktivnosti Vigorish Vipera prevazilaze Kinu i ciljaju korisnike širom svijeta.
Neki od drugih odbrambenih mehanizama ugrađenih u ove stranice uključuju periodično provjeravanje znakova automatizirane aktivnosti i posluživanje CAPTCHA zagonetke posjetiteljima u pokušaju da se izbjegnu potencijalni napori skeniranja ili kada pokušavaju doći do korisničke podrške, zadatak koji obavljaju stvarni ljudi koji su krijumčareni u jugoistočnu Aziju.
To nije sve. Korisnici koji posjećuju jednu od domena brenda Vigorish Viper podvrgnuti su višestrukim krugovima provjera otiska prsta kako bi se potvrdilo da je IP adresa u Kini i da je legitimna, prije nego im bude dozvoljeno da se klade na ovim stranicama.
„I DNS i softver povezuju čitavo preduzeće Vigorish Viper sa Yabo Sportsom ili Yabo Groupom,“ saopštila je kompanija. “Njihov domet se proteže na desetine brendova, možda i stotine, i cilja na korisnike izvan jugoistočne Azije.”
“Uprkos ogromnom broju imena domena, web stranica i pratećih aplikacija, zajedno s otvorenim prisustvom u očima javnosti, Vigorish Viper djeluje direktno i neobjašnjivo u NRK bez značajnih posljedica.”
Izvor:The Hacker News