Badania Łączą Grupę Suncity z FUNNULL w Skandalach Hazardowych i Phishingowych

Niedawne śledztwo przeprowadzone przez Silent Push odkryło powiązania pomiędzy hazardem, praniem brudnych pieniędzy i oszustwami phishingowymi, wszystkie związane z kontrowersyjną siecią dostarczania treści (CDN) o nazwie FUNNULL.

Wyniki wskazują, że FUNNULL jest gospodarzem znacznej liczby podejrzanych stron internetowych, wiele z nich związanych z nielegalnymi operacjami hazardowymi i schematami phishingu w handlu detalicznym.

Jednym z głównych graczy w tej sieci jest Suncity Group, operator junketów z siedzibą w Makau, który był uwikłany w skandale związane z praniem brudnych pieniędzy i nielegalnymi zakładami, jak zauważono w śledztwie.

Grupa, kiedyś największy operator VIP na azjatyckiej scenie hazardowej, rzekomo stworzyła ogromny podziemny system bankowy, który przetworzył zakłady nielegalne na kwotę 100 miliardów dolarów i wyprał 40 miliardów dolarów dla przestępców.

Mimo zaprzeczeń jakoby miała jakiekolwiek powiązania z hazardem online, dowody sugerują, że Suncity umożliwiło obywatelom Chin grę w hazard w internecie, omijając surowe chińskie prawa antyhazardowe, jak zauważono podczas śledztwa.

Alvin Chau, CEO grupy Suncity, został skazany na 18 lat więzienia w zeszłym roku za swoją rolę w tych nielegalnych działaniach. Śledztwo w sprawie Suncity ujawniło powiązania z notorycznym chińskim syndykatem przestępczym Triad, a stwierdzono, że grupa wyprała 19 milionów dolarów dla niesławnego północnokoreańskiego zespołu cyberprzestępczego, Lazarus.

Co jest jeszcze bardziej niepokojące, to skala infrastruktury online Suncity. Badacze odkryli ponad 6 500 hostów generowanych przez algorytm domenowy (DGA) połączonych z operacjami hazardowymi grupy, wszystkie z nich są hostowane na CDN FUNNULL.

Dalsze badania stron internetowych Suncity ujawniły linki do konta na GitHubie, które zawierało szablony kodów używane do tworzenia różnych stron hazardowych hostowanych na FUNNULL. Te szablony, mimo że przestarzałe, pokazują, jak jedna jednostka może być odpowiedzialna za rozwijanie dużej części stron hazardowych w sieci.

Oprócz nielegalnego hazardu, Silent Push odkryło kolejny aspekt działalności FUNNULL – phishingowe oszustwa ukierunkowane na główne marki detaliczne.

Znaleziono ponad 650 domen, które były gospodarzami dla fałszywych stron logowania dla takich firm jak Chanel, Cartier i eBay. Te strony phishingowe są zaprojektowane tak, aby wprowadzić w błąd użytkowników i skłonić ich do wprowadzenia swoich danych uwierzytelniających, które są następnie kradzione i prawdopodobnie sprzedawane lub wykorzystywane do dalszych ataków cybernetycznych.

Strony phishingowe miały podobne struktury kodowania, co sugeruje koordynowaną kampanię. Zasięg tych oszustw jest ogromny, zgodnie z raportem. FUNNULL nie tylko hostuje strony internetowe do gier hazardowych i phishingu; jest również zaangażowany w atak na łańcuch dostaw.

Wcześniej tego roku, grupa przejęła kontrolę nad popularną biblioteką JavaScript, polyfill.io, używaną przez ponad 110 000 stron internetowych na całym świecie. Modyfikując kod, FUNNULL był w stanie przekierować użytkowników na azjatyckie strony hazardowe, wpływając na ogromną liczbę stron internetowych, z których wiele nie było świadomych szkodliwych przekierowań.

Użycie kryptowalut, szczególnie Tether (USDT), jest również wyraźnie widoczne w nielegalnych działaniach prowadzonych na FUNNULL. Wiele stron z hazardem zachęca użytkowników do wpłacania środków w Tether, co ułatwia przenoszenie pieniędzy bez wykrycia.

Dodaje to kolejną warstwę złożoności do już skomplikowanej sieci działalności kryminalnej. Wyniki badań wzbudziły poważne obawy co do roli CDNs, takich jak FUNNULL, w ułatwianiu cyberprzestępstw.

Chociaż sieci dostarczania treści są zaprojektowane do przyspieszania ruchu w Internecie, nieuczciwi operatorzy, tacy jak FUNNULL, wykorzystują swoją infrastrukturę do ukrywania nielegalnych działań za warstwami złożoności, utrudniając władzom śledzenie źródeł oszustw.