Büyük ölçekli dolandırıcılık kampanyası en az iki yıldır devam ediyor ve klonlanan web siteleri hâlâ çalışır durumda.
Çevrimiçi kumar hızla gelişen bir endüstridir ve Asya-Pasifik bölgesi, Çin ve Hindistan’ın öncülüğünde dünyada kumarın merkezi haline gelmiştir. Ancak bu beklenmedik artış, kara para aklama, çevrimiçi dolandırıcılık ve dolandırıcılık gibi yasa dışı faaliyetlerde keskin bir artışa yol açtı.
Ekim 2023’te Hackread, CloudSEK tarafından keşfedilen ve Çinli dolandırıcıların yasadışı anında kredi uygulamalarını kullanarak Hint dijital ödeme sistemini hedef alan bir dolandırıcılık kampanyasını bildirdi. Şimdi ise daha büyük bir dolandırıcılık ortaya çıktı.
İsveçli kâr amacı gütmeyen dijital güvenlik çözümleri sağlayıcısı Kurium Media’ya göre, Çinli dolandırıcılar meşru web sitelerinin klonlanmış versiyonlarını oluşturarak ziyaretçileri kumar sitelerine yönlendiriyor.
Her şey MindaNews’in web sitesinin Çince bir kopyasını bulması ve hemen Kurium’a haber vermesiyle başladı. Bağlam açısından MindaNews, merkezi Davao City’de bulunan bir Filipin gazetesidir ve Mindanao Gazetecilik Enstitüsü’nün haber kaynağı olarak hizmet vermektedir.
MindaNews’in kopyası (mmart-inn.com) Çin’de kayıtlıydı. Son iki yıldır gazetenin içeriğini (haberler, fotoğraflar, görüş yazıları) Çinceye çevirdikten sonra yasa dışı olarak çoğaltıyordu; en son çeviri Şubat 2023 tarihli içeriğe aitti.
“Bazı MindaNews yazarları İngilizce adlarıyla korundu, bazıları ise Çinceye çevrildi. Ancak genel olarak İngilizceye çevrildiğinde içerik aynıdır” diye açıkladı MindaNews blog yazısında.
Şirket daha derine indi ve birçoğu akademik kurumlara ait olan ve tümü Çin merkezli kumar hizmetlerinin tanıtımını yapan 500’den fazla klonlanmış web sitesi buldu.
Ağustos 2023’te Çinli APT grubu Bronze Starlight’ın, Güneydoğu Asya kumar sektörünü hedef alan kötü amaçlı yazılımları imzalamak için çalıntı Ivacy VPN sertifikalarını kullandığının bildirildiğini dikkate almak önemlidir. Ancak şu an itibariyle, bu saldırı kampanyasının devam eden web sitesi klonlama saldırısıyla ilgili olup olmadığı belirsizliğini koruyor.
Klonlanan web siteleri, ABD merkezli Eonix Corporation’ın sahibi olduğu ServerHub tarafından işletilen iki/24 ağda barındırılıyordu ve halk kütüphaneleri, üniversiteler ve özel işletmelerin web sitelerini içeriyordu.
Tüm klonlar Eylül 2021’de oluşturuldu ve reklamlar aracılığıyla ‘188bet’ (520xingyun.com/from/188bet.php) adlı bir kumar platformunun tanıtımını yaptı.
Bu reklamlar, diğer birçok kumar firmasının (Kaiyun, BetVictor, Raybet veya Manbetx dahil) halihazırda kayıtlı olduğu Man Adası’ndaki fiziksel bir adresi içeriyordu. 520xingyun{.}com web sitesi bu tür çok sayıda reklama ev sahipliği yapıyordu.
Üstelik tüm şirketler Temmuz 2021’de alan adı kayıt kuruluşu Gname.com Pte aracılığıyla tescil edildi. LTD, TGP Europe ve Cube Limited ile beyaz etiket ortaklığına sahiptir. Hem Cube Limited hem de 188bet’in Man Adası ile bağlantıları vardır.
Bu şirketler Asyalı oyun ortaklarının aracıları olarak hizmet ediyordu. Daha fazla araştırma, TGP Europe’un İngiltere merkezli olduğunu ve sosyal sorumluluk başarısızlıkları ve kara para aklamayı önleme nedeniyle suçlu bulunduğunu ortaya çıkardı.
Kurium’un raporuna göre Gname, reklamlar için kullanılan farklı WIPO alan adlarına karışmıştı. Standart bir uygulama olan 188bet’in Filipinler Makati’de görevlilerinin bulunduğunu belirtmekte fayda var.
“Bu Çin kumar şirketlerinin merkezleri, Çin’de kumarın yasak olması nedeniyle genellikle Vietnam ve Filipinler gibi yakın ülkelerde bulunuyor.”
Kuryum
Şu ana kadar ServerHub, iddiaları araştırmaya devam ettiği için yüzlerce web sitesini klonladığı için istemciye karşı herhangi bir işlem yapmadı. Rapor geliştikçe Hackread.com durumu izleyecek ve okuyuculara buna göre güncellemeler sunacaktır.
İLGİLİ MAKALELER
- Alan Adının İşgal Edilmesi ve Marka Ele Geçirilmesi: Sessiz Bir Tehdit
- Çinli APT, Kamboçya’da Casusluk Yapmak İçin Bulut Hizmeti Gibi Davranıyor
- Çinli APT, FoundCore RAT ile Vietnam ordusunu gözetliyor
- Bilgisayar korsanları veri elde etmek için Casino’nun akvaryum termometresine saldırdı
- iOS ve Play Store’da Kişisel Verileri Toplayan ChatGPT Klon Uygulamaları