Güvenlik araştırmacılarına göre, yılın en büyük dijital tedarik zinciri saldırılarından biri, çok sayıda internet kullanıcısını taklit kumar siteleri ağına yönlendiren az bilinen bir şirket tarafından başlatıldı.
Bu yılın başlarında FUNNULL adında bir şirket Polyfill.io’yu satın aldıweb sitelerine gömülü olması durumunda eski tarayıcıların yeni tarayıcılarda bulunan özellikleri çalıştırmasına olanak tanıyan açık kaynaklı bir JavaScript kitaplığını barındıran bir alan adıdır. Polyfill.io’nun kontrolünü ele geçiren FUNNULL, alanı esas olarak bir tedarik zinciri saldırısı gerçekleştirmek için kullandı. Siber güvenlik firması Sansec’in Haziran ayında bildirdiği gibiFUNNULL’un meşru bir hizmeti devraldığı ve bu hizmetin erişimini kötüye kullandığı potansiyel olarak milyonlarca web sitesi ziyaretçilerine kötü amaçlı yazılım göndermek için.
Polyfill.io’nun devralınması sırasında orijinal Polyfill yazarı Polyfill.io alanına asla sahip olmadığı konusunda uyardı ve önerilen web siteleri, riskleri önlemek için barındırılan Polyfill kodunu tamamen kaldırır. Ayrıca içerik dağıtım ağı sağlayıcıları Cloudflare ve Fastly, Polyfill kütüphanesini kullanmaya devam etmek isteyen web siteleri için güvenli ve güvenilir bir alternatif sunmak amacıyla kendi Polyfill.io aynalarını çıkardı.
Tedarik zinciri saldırısının amacının tam olarak ne olduğu belli değil ancak Sansec’in kurucusu Willem de Groot şunları söyledi: o zamanlar X’e yazmıştı bunun para kazanmaya yönelik “gülünç derecede kötü” bir girişim olduğu ortaya çıktı.
Şimdi Silent Push’taki güvenlik araştırmacıları, binlerce Çin kumar sitesinden oluşan bir ağın haritasını çıkardıklarını ve bunu FUNNULL ve Polyfill.io tedarik zinciri saldırısıyla ilişkilendirdiklerini söylüyor.
Araştırmacıların raporuna göreTechCrunch ile önceden paylaşılan FUNNULL, Polyfill.io’ya erişimini kullanarak kötü amaçlı yazılım enjekte edin ve yönlendirin Web sitesi ziyaretçileri bu kötü amaçlı kumarhane ve çevrimiçi kumar siteleri ağına girer.
Kıdemli tehdit analisti ve Silent Push raporu üzerinde çalışan araştırmacılardan biri olan Zach Edwards, TechCrunch’a “Bu ‘çevrimiçi kumar ağının’ bir paravan olduğu muhtemel görünüyor” dedi. Edwards, FUNNULL’un “internetteki en büyük çevrimiçi kumar halkalarından biri gibi görünen bir şeyi işlettiğini” ekledi.
Silent Push araştırmacıları raporlarında söyledi FUNNULL tarafından barındırılan, çoğunluğu Çince olan yaklaşık 40.000 web sitesini tespit edebildiler; bunların tümü benzer görünümlü ve görünüşte rastgele harfler ve rakamlardan oluşan, muhtemelen otomatik olarak oluşturulmuş alan adlarına sahipti. Bu sitelerin çevrimiçi kumar ve kumarhane markalarını taklit ettiği ortaya çıktı; bunlar arasında Venedik Makao’sunun sahibi olan bir kumarhane holdingi olan Sands; Makao’daki Grand Lisboa; SunCity Grubu; yanı sıra çevrimiçi kumar portalları Bet365 ve Bwin.
Bwin’in ana şirketi Entain’in sözcüsü Chris Alfred, TechCrunch’a şirketin “bunun bizim sahip olduğumuz bir alan adı olmadığını doğrulayabileceğini, bu nedenle site sahibinin Bwin markamızı ihlal ettiği anlaşılıyor, bu yüzden sorunu çözmek için harekete geçeceğimizi” söyledi. Bu.”
Sands, SunCity Group, Macau Grand Lisboa ve Bet365 çok sayıda yorum talebine yanıt vermedi.
Edwards, TechCrunch’a kendisinin ve meslektaşlarının, kara para aklama anlamına geldiğine inandıkları bir ifade olan “para taşıma” ifadesini tartışan bir FUNNULL geliştiricisinin GitHub hesabını bulduğunu söyledi. GitHub sayfası ayrıca, spam içerikli siteler ağında taklit edilen kumar markalarının yanı sıra para taşımayla ilgili konuşmaları içeren Telegram kanallarına bağlantılar da içeriyordu.
Edwards, “Ve bu sitelerin hepsi para taşımak için ya da asıl amaçları bu” dedi.
Edwards ve meslektaşlarına göre şüpheli siteler ağı şu adreste barındırılıyor: FUNNULL’un içerik dağıtım ağıveya web sitesi CDN iddialar “Made in USA” yazıyor ancak listeleniyor birkaç ofis adresi Kanada, Malezya, Filipinler, Singapur, İsviçre ve Amerika Birleşik Devletleri’nde, bunların hepsi gerçek dünyada adresleri listelenmemiş yerler gibi görünüyor.
FUNNULL, kumar sektörünün merkezi olan HUIDU’daki profilinde diyor muhtemelen Çin ana karasına atıfta bulunarak “kıtada 30’dan fazla veri merkezine” sahip ve “Çin’de yüksek güvenlikli otomatik bir sunucu odasına” sahip.
Görünür bir teknoloji şirketi için FUNNULL, temsilcilerine ulaşmayı zorlaştırıyor. TechCrunch, şirketle iletişime geçerek yorum almak ve görünürdeki tedarik zinciri saldırısındaki rolü hakkında sorular sormak için çaba gösterdi ancak sorularımıza yanıt alamadı.
FUNNULL, web sitesinde mevcut olmayan bir e-posta adresini listeliyor; şirketin WhatsApp’ta olduğunu iddia ettiği ancak ulaşılamayan bir telefon numarası; WeChat’te Tayvan’da FUNNULL ile hiçbir bağlantısı olmayan bir kadına ait olduğu görünen numaranın aynısı; yorum taleplerimize yanıt vermeyen bir Skype hesabı; ve kendisini yalnızca “Sara” olarak tanımlayan ve avatarı olarak FUNNULL logosuna sahip bir Telegram hesabı.
Telegram’daki “Sara”, TechCrunch tarafından hem Çince hem de İngilizce olarak gönderilen ve bu makale için bir dizi soru içeren yorum talebine yanıt verdi: “Ne söylediğinizi anlamıyoruz” ve yanıt vermeyi bıraktı. TechCrunch ayrıca FUNNULL’a ait bir dizi geçerli e-posta adresini de tespit edebildi ve bunların hiçbiri yorum taleplerine yanıt vermedi.
ACB Group adlı bir şirket, FUNNULL’un sahibi olduğunu iddia etti resmi web sitesinin arşivlenmiş bir versiyonuşu anda çevrimdışı. ACB Grubuna TechCrunch tarafından ulaşılamadı.
Milyonlarca web sitesine erişimi olan FUNNULL, fidye yazılımı yüklemek gibi çok daha tehlikeli saldırılar başlatabilirdi. silecek kötü amaçlı yazılımıSpam içerikli web sitelerinin ziyaretçilerine karşı . Bu tür tedarik zinciri saldırıları giderek daha olası hale geliyor çünkü web artık genellikle üçüncü taraf araçlarla oluşturulan ve bazen kötü niyetli olduğu ortaya çıkabilen üçüncü taraflarca kontrol edilen web sitelerinden oluşan karmaşık bir küresel ağdır.
Görünüşe göre bu sefer amaç, spam içerikli sitelerden oluşan bir ağdan para kazanmaktı. Bir dahaki sefere çok daha kötü olabilir.
