Vigorish Viper ile ilişkili çeşitli TDS’ler ve DNS’ler arasındaki ilişki ve kullanıcı için nihai iniş deneyimi |
Güneydoğu Asya’da kara para aklama ve insan ticaretiyle bağlantıları bulunan bir Çin organize suç örgütü, operasyonlarını yönlendirmek için siber suç tedarik zincirinin tamamını yöneten gelişmiş bir “teknoloji paketi” kullanıyor.
Infoblox, sahibini ve bakımını yapan kişiyi şu takma ad altında takip ediyor: Canlı Engerekgeçmişte yasadışı kumar operasyonları ve domuz kesme dolandırıcılıklarıyla ilişkilendirilen Yabo Group (diğer adıyla Yabo Sports) tarafından geliştirildiğini belirterek. 2022’nin sonlarında Kaiyun Sports olarak yeniden markalandı ve o zamandan beri Ponymuah adlı yeni kurulan başka bir kuruluşa dahil edildi.
Çin’de “baowang” (“包网,” tam paket anlamına gelir) olarak pazarlanan paket, Alan Adı Sistemi (DNS) yapılandırmaları, web sitesi barındırma, ödeme mekanizmaları, reklamcılık ve mobil uygulamalar gibi çeşitli bileşenleri kapsar. Ayrıca Hong Kong ve Çin’e bağlı bir altyapıda binlerce alan adı ve çok sayıda markayı barındırır.
Girişim, ön şirketler veya beyaz etiketli markalar kullanarak Avrupa futbol kulübü sponsorlukları elde etmeye ve bunları bölgedeki yasadışı kumar sitelerini tanıtmak için bir “güç çarpanı” olarak kullanmaya ve daha fazla bahisçi çekmeye dayanmaktadır. Temmuz 2023’te, bahis şirketi logolarının televizyonda yayınlanan bir futbol maçı sırasında 3.500 kez kadar sıklıkta göründüğü bildirildi.
Yabo, Ponymuah ve OB (diğer adıyla OBGM), DB Gaming, Panda Sports, KM Gaming ve Smart King Games (SKG) gibi diğer ilgili yan kuruluşlar, Vigorish Viper’ın kapsamlı ağının bir parçasıdır ve kumar şirketlerinin karmaşık ve belirsiz mülkiyetini ve incelemeden kaçınmak için atılan özenli adımları vurgulamaktadır.
Bu sponsorluklara sadece İngiliz futbol kulüpleri girmedi; soruşturma, Hindistan’daki kriket ve kabaddi takımlarının da Vigorish Viper markalarının reklamını yapmak için benzer sponsorluk anlaşmaları yaptığını ortaya çıkardı.
Infoblox araştırmacıları Maël Le Touz, Jacques Portal, Renée Burton ve Elena Puga, The Hacker News ile paylaştıkları kapsamlı bir raporda, “Vigorish Viper, DNS CNAME trafik dağıtım sistemlerinin gelişmiş kullanımı sayesinde tespit ve kolluk kuvvetlerinden kaçınarak 170.000’den fazla etkin alan adından oluşan geniş bir ağ işletiyor” dedi.
“Kumarın yanı sıra, Vigorish Viper’ın CNAME’si [traffic distribution systems] yasadışı yayın ve pornografi sitelerine hizmet eder. Yayın için kullanılan alan adlarından bazıları, Vigorish Viper’ın orijinal kayıt süresi dolduktan sonra aldığı uzun süredir kayıtlı alan adlarıdır.”
Infoblox’un tehdit istihbaratından sorumlu başkan yardımcısı Burton, tehdit aktörünü “bugüne kadar keşfedilen dijital güvenliğe yönelik en karmaşık ve önemli tehditlerden biri” olarak nitelendirdi.
Vigorish Viper’ın spor sponsorluk planına genel bakış |
Burton bir bildiride, “Vigorish Viper, DNS CNAME kayıtları ve JavaScript kullanarak çok katmanlı trafik dağıtım sistemleri (TDS’ler) ile karmaşık bir altyapı oluşturdu ve bu da tespit edilmesini inanılmaz derecede zorlaştırıyor,” dedi. “Bu sistemler, kendi şifreli iletişimleri ve özel olarak geliştirilmiş uygulamalarıyla tamamlanıyor ve bu da faaliyetlerini yalnızca yakalanması zor değil, aynı zamanda dikkate değer derecede dayanıklı hale getiriyor.”
Bu, trafiği bir etki alanından diğerine yönlendirmek için DNS CNAME kayıtlarının kullanılmasını gerektirir; bu, Savvy Seahorse gibi diğer DNS tehdit aktörleri tarafından daha önce benimsenen bir tekniktir. Dahası, sistem Çin’deki konut, mobil ve ticari IP adresleri arasında ayrım yapma yeteneğine sahiptir.
Ocak ayının başlarında, Danimarka Spor Araştırmaları Enstitüsü’nün Play the Game girişimi, onlarca Avrupa futbol kulübü ile Yabo’ya kadar uzanan ve kumarın yasak olduğu ve organize suç olarak kabul edildiği Çin gibi yargı bölgelerini hedef alan yasadışı kumar markaları arasındaki bağlantıları ortaya çıkardı.
Asya Yarış Federasyonu’na (ARF) göre, çevrimiçi suçların insan ticaretiyle ilgili çevrimdışı bir yönü de bulunuyor. Bu suçlarda, insanlar yüksek maaşlı işler vaadiyle kandırılıyor ve spor bahis planlarını desteklemeye, domuz kesme dolandırıcılıklarını ve diğer kripto para dolandırıcılıklarını teşvik etmeye zorlanıyorlar.
“8-10 kişilik ekipler halinde faaliyet gösteren bazıları, maçlar sırasında bahis sitelerini pazarlayan canlı sohbet gruplarını tanıtmak için yorumcular ve canlı spor yayıncılarıyla (muhtemelen korsan yayınlarda) koordineli çalışıyor” diye bir rapora göre [PDF] ARF tarafından Ekim 2023’te yayınlandı. “Diğerleri müşterileri bahis oynamaya devam etmeye teşvik etmek için ilişki yöneticisi olarak hareket eder ve diğerleri doğrudan müşteri işe alım temsilcisi olarak hareket eder.”
Bir kullanıcının bir siteyi ziyaret etmesi ile bahis oynamaya başlaması arasındaki adımlar |
Infoblox, Vigorish Viper’a yönelik kendi soruşturmasının tek bir anormal alan adından kaynaklandığını söyledi: kb[.]com – Çince isim sunucularını kullanan KB Sports adlı bir kumar sitesi – aynı zamanda yabo’yu da barındırıyor[.]Yabo Sports’un alan adı com’dur.
Burada dikkat çeken ilginç bir nokta ise, web sitesinin Fransa ve Avrupa’nın diğer bölgelerindeki kullanıcılara coğrafi olarak engellenmiş olması, ancak Çin anakarasından ve Hong Kong ve Makao gibi özel idari bölgelerden erişime açık olmasıdır.
“Bu alanlardan birinden ziyaret edildiğinde, kullanıcı başka bir etki alanına yönlendirilir — örneğin, kb830[.]Araştırmacılar, “.com” diye belirtti. “Yönlendirme alanı zamanla değişir. Ayrıca, sitedeki tüm ‘sağ tıklama’ işlevleri ve metin seçimi devre dışıdır, bu da siteyi araştırma veya kopyalama çabalarını engeller.”
Web sitesine gelen kullanıcılara daha sonra WeChat Pay, EBpay, Alipay, JD Pay, KOIPay, AstroPay, YunShanFu, UniPay, Net Pay, Fast Pay ve NetBank kullanarak ödeme yapma seçeneklerinin yanı sıra düzenli bahis oynama için finansal teşvikler sunan reklamlar sunulur. Bahis, bahisleri koyan, para yatırma işlemlerini yöneten ve kumarbazlarla özel, şifreli sohbet uygulamaları aracılığıyla iletişim kuran acenteler aracılığıyla gerçekleşir.
DNS sorgu kayıtlarının daha derinlemesine incelenmesi, Vigorish Viper’ın faaliyetlerinin Çin’i aşarak dünya çapındaki kullanıcıları hedef aldığına dair kanıtlar ortaya çıkardı.
Bu sitelere yerleştirilen diğer savunma mekanizmalarından bazıları, otomatik etkinlik belirtilerini periyodik olarak kontrol etmek ve potansiyel tarama çabalarından kaçınmak amacıyla ziyaretçilere bir CAPTCHA bulmacası sunmak veya Güneydoğu Asya’ya kaçırılan gerçek kişiler tarafından gerçekleştirilen bir görev olan müşteri desteğine ulaşmaya çalışırken bunu yapmaktır.
Hepsi bu kadar değil. Vigorish Viper’ın marka alan adlarından birini ziyaret eden kullanıcılar, sitelerde bahis oynamalarına izin verilmeden önce IP adresinin Çin’de olduğunu ve meşru olduğunu doğrulamak için birden fazla parmak izi kontrolüne tabi tutulur.
Şirket, “Hem DNS hem de yazılım, Vigorish Viper’ın tüm girişimini Yabo Sports veya Yabo Group’a bağlıyor,” dedi. “Erişimleri düzinelerce markaya, muhtemelen yüzlercesine kadar uzanıyor ve Güneydoğu Asya’nın ötesindeki kullanıcıları hedefliyor.”
“Çok sayıda alan adı, web sitesi ve bunlara eşlik eden uygulamalara ve kamuoyunun gözü önünde açıkça var olmasına rağmen, Vigorish Viper ÇHC’de anlamlı bir sonuç doğurmadan doğrudan ve açıklanamayan bir şekilde faaliyet göstermektedir.”