Güvenlik araştırmacılarına göre, yılın en büyük dijital tedarik zinciri saldırılarından biri, çok sayıda internet kullanıcısını taklit kumar siteleri ağına yönlendiren az bilinen bir şirket tarafından başlatıldı.
Bu yılın başlarında, FUNNULL adlı bir şirket, web sitelerine gömülü olması durumunda eski tarayıcıların yeni tarayıcılarda bulunan özellikleri çalıştırmasına olanak tanıyan açık kaynaklı bir JavaScript kitaplığını barındıran bir alan adı olan Polyfill.io’yu satın aldı. Siber güvenlik firması Sansec’in haziran ayında bildirdiğine göre, FUNNULL, Polyfill.io’nun kontrolünü ele geçirdikten sonra alanı esas olarak bir tedarik zinciri saldırısı gerçekleştirmek için kullandı; burada FUNNULL meşru bir hizmeti devraldı ve potansiyel olarak milyonlarca web sitesine erişimini kötü amaçlı yazılımları sitelerine göndermek için kötüye kullandı. ziyaretçiler.
Polyfill.io’nun devralınması sırasında, orijinal Polyfill yazarı, Polyfill.io alanına hiçbir zaman sahip olmadığı konusunda uyardı ve web sitelerinin, riskleri önlemek için barındırılan Polyfill kodunu tamamen kaldırmasını önerdi. Ayrıca içerik dağıtım ağı sağlayıcıları Cloudflare ve Fastly, Polyfill kütüphanesini kullanmaya devam etmek isteyen web siteleri için güvenli ve güvenilir bir alternatif sunmak amacıyla kendi Polyfill.io aynalarını çıkardı.
Tedarik zinciri saldırısının amacının tam olarak ne olduğu belli değil ancak Sansec’in kurucusu Willem de Groot, o dönemde X hakkında bunun para kazanmaya yönelik “gülünç derecede kötü” bir girişim gibi göründüğünü yazmıştı.
Şimdi Silent Push’taki güvenlik araştırmacıları, binlerce Çin kumar sitesinden oluşan bir ağın haritasını çıkardıklarını ve bunu FUNNULL ve Polyfill.io tedarik zinciri saldırısıyla ilişkilendirdiklerini söylüyor.
TechCrunch ile önceden paylaşılan araştırmacıların raporuna göre, FUNNULL, Polyfill.io’ya erişimini kötü amaçlı yazılım enjekte etmek ve web sitesi ziyaretçilerini kumarhane ve çevrimiçi kumar sitelerinden oluşan kötü niyetli ağa yönlendirmek için kullanıyordu.
Kıdemli tehdit analisti ve Silent Push raporu üzerinde çalışan araştırmacılardan biri olan Zach Edwards, TechCrunch’a “Bu ‘çevrimiçi kumar ağının’ bir paravan olduğu muhtemel görünüyor” dedi. Edwards, FUNNULL’un “internetteki en büyük çevrimiçi kumar halkalarından biri gibi görünen bir şeyi işlettiğini” ekledi.
Silent Push araştırmacıları, raporlarında, FUNNULL tarafından barındırılan, çoğunluğu Çince olan yaklaşık 40.000 web sitesini tespit edebildiklerini, bunların hepsinin benzer görünümlü ve görünüşte rastgele harf ve rakamlardan oluşan, muhtemelen otomatik olarak oluşturulmuş alan adlarına sahip olduğunu tespit edebildiklerini söyledi. Bu sitelerin çevrimiçi kumar ve kumarhane markalarını taklit ettiği ortaya çıktı; bunlar arasında Venetian Macau’nun sahibi olan bir kumarhane holdingi olan Sands, Macau’daki Grand Lisboa ve SunCity Group; yanı sıra çevrimiçi kumar portalları Bet365 ve Bwin.
Bwin’in ana şirketi Entain’in sözcüsü Chris Alfred, TechCrunch’a şirketin “bunun bizim sahip olduğumuz bir alan adı olmadığını doğrulayabileceğini, bu nedenle site sahibinin Bwin markamızı ihlal ettiği anlaşılıyor, bu yüzden sorunu çözmek için harekete geçeceğimizi” söyledi. Bu.”
Sands, SunCity Group, Macau Grand Lisboa ve Bet365 çok sayıda yorum talebine yanıt vermedi.
Edwards, TechCrunch’a kendisinin ve meslektaşlarının, kara para aklama anlamına geldiğine inandıkları bir ifade olan “para taşıma” ifadesini tartışan bir FUNNULL geliştiricisinin GitHub hesabını bulduğunu söyledi. GitHub sayfası ayrıca, spam içerikli siteler ağında taklit edilen kumar markalarının yanı sıra para taşımayla ilgili konuşmaları içeren Telegram kanallarına bağlantılar da içeriyordu.
Edwards, “Ve bu sitelerin hepsi para taşımak için ya da asıl amaçları bu” dedi.
Edwards ve meslektaşlarına göre şüpheli siteler ağı, FUNNULL’un içerik dağıtım ağında veya CDN’de barındırılıyor. CDN’nin web sitesi “Made in USA” olduğunu iddia ediyor ancak Kanada, Malezya, Filipinler, Singapur ve İsviçre’deki çeşitli ofis adreslerini listeliyor. ve gerçek dünyada adresleri listelenmemiş yerler gibi görünen Amerika Birleşik Devletleri.
Kumar endüstrisi için bir merkez olan HUIDU’daki profilinde FUNNULL, muhtemelen Çin ana karasına atıfta bulunarak “kıtada 30’dan fazla veri merkezine” sahip olduğunu ve “Çin’de yüksek güvenlikli otomatik bir sunucu odasına” sahip olduğunu söylüyor.
Görünür bir teknoloji şirketi için FUNNULL, temsilcilerine ulaşmayı zorlaştırıyor. TechCrunch, şirketle iletişime geçerek yorum almak ve görünürdeki tedarik zinciri saldırısındaki rolü hakkında sorular sormak için çaba gösterdi ancak sorularımıza yanıt alamadı.
FUNNULL, web sitesinde mevcut olmayan bir e-posta adresini listeliyor; şirketin WhatsApp’ta olduğunu iddia ettiği ancak ulaşılamayan bir telefon numarası; WeChat’te Tayvan’da FUNNULL ile hiçbir bağlantısı olmayan bir kadına ait olduğu görünen numaranın aynısı; yorum taleplerimize yanıt vermeyen bir Skype hesabı; ve kendisini yalnızca “Sara” olarak tanımlayan ve avatarı olarak FUNNULL logosuna sahip bir Telegram hesabı.
Telegram’daki “Sara”, TechCrunch tarafından hem Çince hem de İngilizce olarak gönderilen ve bu makale için bir dizi soru içeren yorum talebine yanıt verdi: “Ne söylediğinizi anlamıyoruz” ve yanıt vermeyi bıraktı. TechCrunch ayrıca FUNNULL’a ait bir dizi geçerli e-posta adresini de tespit edebildi ve bunların hiçbiri yorum taleplerine yanıt vermedi.
ACB Group adlı bir şirket, şu anda çevrimdışı olan resmi web sitesinin arşivlenmiş bir versiyonunda FUNNULL’un sahibi olduğunu iddia etti. ACB Grubuna TechCrunch tarafından ulaşılamadı.
Milyonlarca web sitesine erişimi olan FUNNULL, spam içerikli web sitelerinin ziyaretçilerine karşı fidye yazılımı, kötü amaçlı yazılım temizleme veya casus yazılım yükleme gibi çok daha tehlikeli saldırılar başlatabilirdi. Bu tür tedarik zinciri saldırıları giderek daha olası hale geliyor çünkü web artık genellikle üçüncü taraf araçlarla oluşturulan ve zaman zaman kötü niyetli olduğu ortaya çıkabilen üçüncü taraflarca kontrol edilen web sitelerinden oluşan karmaşık bir küresel ağdır.
Görünüşe göre bu sefer amaç, spam içerikli sitelerden oluşan bir ağdan para kazanmaktı. Bir dahaki sefere çok daha kötü olabilir.
Kaynak: https://techcrunch.com/2024/10/22/researchers-link-polyfill-supply-chain-attack-to-huge-network-of-copycat-gambling-sites/