Tyrėjai susieja „Polyfill“ tiekimo grandinės ataką su didžiuliu lošimo svetainių kopijavimo tinklu
admin 
Pasak saugumo tyrinėtojų, vieną didžiausių skaitmeninės tiekimo grandinės atakų šiais metais pradėjo mažai žinoma įmonė, nukreipusi daugybę interneto vartotojų į lošimų svetainių kopijavimo tinklą.
Anksčiau šiais metais įmonė FUNNULL įsigijo Polyfill.io – domeną, kuriame yra atvirojo kodo „JavaScript“ biblioteka, kuri, jei ji yra įterpta į svetaines, gali leisti pasenusioms naršyklėms paleisti naujesnėse naršyklėse esančias funkcijas. Perėmusi Polyfill.io valdymą, FUNNULL naudojo domeną, kad iš esmės įvykdytų tiekimo grandinės ataką, kaip birželį pranešė kibernetinio saugumo įmonė „Sansec“, kur FUNNULL perėmė teisėtą paslaugą ir piktnaudžiavo savo prieiga prie potencialiai milijonų svetainių, kad į savo svetaines nukreiptų kenkėjiškas programas. lankytojų.
Polyfill.io perėmimo metu pradinis Polyfill autorius perspėjo, kad jam niekada nepriklausė Polyfill.io domenas, ir pasiūlė svetainėms visiškai pašalinti priglobtą Polyfill kodą, kad būtų išvengta rizikos. Be to, turinio pristatymo tinklo teikėjai „Cloudflare“ ir „Fastly“ išleido savo „Polyfill.io“ veidrodžius, kad pasiūlytų saugią, patikimą alternatyvą svetainėms, norinčioms ir toliau naudoti „Polyfill“ biblioteką.
Neaišku, koks buvo tiksliai tiekimo grandinės atakos tikslas, tačiau Willemas de Grootas, „Sansec“ įkūrėjas, tuo metu rašė ant X, kad tai atrodė „juokingai blogas“ bandymas užsidirbti pinigų.
Dabar „Silent Push“ saugumo tyrinėtojai teigia suplanavę tūkstančių Kinijos lošimo svetainių tinklą ir susieję jį su FUNNULL ir Polyfill.io tiekimo grandinės ataka.
Remiantis tyrėjų ataskaita, kuri iš anksto buvo pasidalinta su „TechCrunch“, FUNNULL naudojo savo prieigą prie Polyfill.io, kad įneštų kenkėjiškų programų ir nukreiptų svetainės lankytojus į tą kenkėjišką kazino ir internetinių lošimų svetainių tinklą.
„Panašu, kad šis „internetinių lošimų tinklas“ yra priekinė dalis“, – „TechCrunch“ sakė Zachas Edwardsas, vyresnysis grėsmių analitikas ir vienas iš tyrėjų, dirbusių su „Silent Push“ ataskaita. Edwardsas pridūrė, kad FUNNULL „valdo, atrodo, vieną didžiausių internetinių lošimų žiedų internete“.
„Silent Push“ tyrėjai savo ataskaitoje teigė, kad jiems pavyko identifikuoti apie 40 000 daugiausia kinų kalba sukurtų svetainių, kurias priglobia FUNNULL, visos su panašiai atrodančiais ir greičiausiai automatiškai sugeneruotais domenais, sudarytais iš tariamai atsitiktinių raidžių ir skaičių. Šios svetainės apsimetinėja internetinių lošimų ir kazino prekių ženklais, įskaitant „Sands“ – kazino konglomeratą, kuriam priklauso Venecijos Makao; Didžioji Lisabona Makao; SunCity grupė; taip pat internetinių lošimų portaluose Bet365 ir Bwin.
Chrisas Alfredas, „Entain“, pagrindinės „Bwin“ įmonės atstovas, „TechCrunch“ sakė, kad bendrovė „gali patvirtinti, kad tai nėra mums priklausantis domenas, todėl atrodo, kad svetainės savininkas pažeidžia mūsų Bwin prekės ženklo teises, todėl imsimės veiksmų, kad išspręstume problemą. tai.”
Sands, SunCity Group, Macau Grand Lisboa ir Bet365 neatsakė į kelis prašymus pakomentuoti.
Edwardsas papasakojo „TechCrunch“, kad jis ir jo kolegos rado FUNNULL kūrėjo „GitHub“ paskyrą, kurioje buvo kalbama apie „pinigų perkėlimą“, posakį, kuris, jų manymu, reiškia pinigų plovimą. „GitHub“ puslapyje taip pat buvo nuorodų į „Telegram“ kanalus, kuriuose minimi lošimo prekių ženklai, apsimetinėjami šlamšto svetainių tinkle, taip pat kalbama apie pinigų perkėlimą.
„Ir tos svetainės yra skirtos pinigams perkelti arba yra jų pagrindinis tikslas“, – sakė Edwardsas.
Įtartinas svetainių tinklas, pasak Edwardso ir jo kolegų, yra priglobtas FUNNULL turinio pristatymo tinkle arba CDN, kurio svetainė teigia esanti „Pagaminta JAV“, tačiau jame pateikiami keli biurų adresai Kanadoje, Malaizijoje, Filipinuose, Singapūre ir Šveicarijoje. ir JAV, kurios visos atrodo kaip vietos, kuriose realiame pasaulyje nėra išvardytų adresų.
Savo profilyje HUIDU, lošimų pramonės centre, FUNNULL teigia, kad turi „daugiau nei 30 duomenų centrų žemyne“, greičiausiai turėdamas omenyje žemyninę Kiniją, ir kad ji turi „aukšto saugumo automatizuotų serverių kambarį Kinijoje“.
Tariamai technologijų įmonei FUNNULL savo atstovus sunku pasiekti. „TechCrunch“ stengėsi susisiekti su įmone, kad paprašytų komentarų ir užduotų klausimų apie jos vaidmenį akivaizdžioje tiekimo grandinės atakoje, tačiau negavo atsakymų į mūsų užklausas.
Savo svetainėje FUNNULL pateikia el. pašto adresą, kurio nėra; telefono numeris, kurį bendrovė teigia esanti „WhatsApp“, tačiau jo nepavyko pasiekti; tas pats numeris, kuris, atrodo, WeChat priklauso moteriai iš Taivano, nesusijusiai su FUNNULL; „Skype“ paskyra, kuri neatsakė į mūsų prašymus pakomentuoti; ir „Telegram“ paskyra, kuri save identifikuoja tik kaip „Sara“, o jos avataras yra FUNNULL logotipas.
„Sara“ per „Telegram“ atsakė į prašymą pakomentuoti, kurį „TechCrunch“ atsiuntė ir kinų, ir anglų kalbomis, kuriame buvo keletas šio straipsnio klausimų: „Mes nesuprantame, ką pasakėte“, ir nustojo atsakyti. „TechCrunch“ taip pat sugebėjo nustatyti keletą galiojančių FUNNULL el. pašto adresų, iš kurių nė vienas neatsakė į komentarų užklausas.
Bendrovė, vadinama ACB Group, teigė, kad ji turi FUNNULL savo oficialios svetainės archyvuotoje versijoje, kuri dabar yra neprisijungusi. „TechCrunch“ nepavyko pasiekti „ACB Group“.
Turėdama prieigą prie milijonų svetainių, FUNNULL galėjo pradėti daug pavojingesnių atakų, pvz., diegti išpirkos reikalaujančias, valytuvų kenkėjiškas programas ar šnipinėjimo programas, prieš nepageidaujamų svetainių lankytojus. Tokios tiekimo grandinės atakos tampa vis labiau įmanomos, nes žiniatinklis dabar yra sudėtingas pasaulinis svetainių tinklas, dažnai kuriamas naudojant trečiųjų šalių įrankius, kontroliuojamas trečiųjų šalių, kurios kartais gali pasirodyti kenkėjiškos.
Šį kartą tikslas, matyt, buvo užsidirbti pinigų iš šlamšto svetainių tinklo. Kitą kartą gali būti daug blogiau.
