Το οικοσύστημα τυχερών παιχνιδιών της Ινδονησίας εκτίθεται με δείκτες ενεργειών στον κυβερνοχώρο σε εθνικό επίπεδο

Μια εξελιγμένη υποδομή εγκλήματος στον κυβερνοχώρο που λειτουργεί για περισσότερα από δεκατέσσερα χρόνια έχει εξαρθρωθεί μέσω εκτεταμένης έρευνας στα παράνομα δίκτυα τυχερών παιχνιδιών της Ινδονησίας.

Οι ερευνητές ασφάλειας έχουν αποκαλύψει ένα εκτεταμένο οικοσύστημα που εκτείνεται σε εκατοντάδες χιλιάδες τομείς, χιλιάδες κακόβουλες εφαρμογές για κινητά και εκτεταμένη πειρατεία τομέων σε κυβερνητική και εταιρική υποδομή παγκοσμίως.

Η επιχείρηση, που δραστηριοποιείται τουλάχιστον από το 2011, καταδεικνύει τους οικονομικούς πόρους, την τεχνική πολυπλοκότητα και την επιχειρησιακή επιμονή που συνήθως συνδέονται με φορείς απειλών που χρηματοδοτούνται από το κράτος και όχι με απλούς εγκληματίες στον κυβερνοχώρο.

Αυτό που ξεκίνησε ως τοπικές δραστηριότητες τζόγου έχει εξελιχθεί σε μια πολυεπίπεδη υποδομή που συνδυάζει παράνομες λειτουργίες τζόγου, χειραγώγηση βελτιστοποίησης μηχανών αναζήτησης, διανομή κακόβουλου λογισμικού και επίμονες τεχνικές εξαγοράς ιστοτόπων.

Η κλίμακα και η πολυπλοκότητα αυτής της εκστρατείας αντιπροσωπεύουν ένα από τα μεγαλύτερα ινδονησιακά οικοσυστήματα εγκλήματος στον κυβερνοχώρο που έχουν παρατηρηθεί μέχρι σήμερα.

Ο παράγοντας απειλής διατηρεί τον έλεγχο σε περίπου 328.039 τομείς, συμπεριλαμβανομένων 90.125 χακαρισμένων τομέων, 1.481 παραβιασμένων υποτομέων και 236.433 αγορασμένων τομέων που χρησιμοποιούνται κυρίως για την ανακατεύθυνση των χρηστών σε πλατφόρμες τζόγου.

Αναλυτές ασφαλείας Malanta αναγνωρισθείς το οικοσύστημα κακόβουλου λογισμικού μέσω μεθοδικής χαρτογράφησης υποδομής και συλλογής πληροφοριών απειλών.

Η έρευνα αποκάλυψε εξελιγμένες αλυσίδες επίθεσης και δυνατότητες διαφυγής ενσωματωμένες σε όλη την τεχνική βάση της επιχείρησης.

Τακτικές διανομής και εμμονής κακόβουλου λογισμικού Android

Η πιο ανησυχητική πτυχή αφορά χιλιάδες κακόβουλες εφαρμογές Android που διανέμονται μέσω κουβάδων S3 του Amazon Web Services που είναι προσβάσιμες στο κοινό.

Αυτές οι εφαρμογές λειτουργούν ως εξελιγμένα σταγονόμετρα που έχουν σχεδιαστεί για να καθιερώνουν επίμονο συμβιβασμό συσκευών ενώ μεταμφιέζονται ως νόμιμες πλατφόρμες τζόγου.

Κατά την εγκατάσταση, οι εφαρμογές πραγματοποιούν αυτόματη λήψη και εγκατάσταση πρόσθετων αρχείων APK χωρίς γνώση του χρήστη, επιδεικνύοντας προηγμένες δυνατότητες σταγονόμετρου.

Το κακόβουλο λογισμικό αξιοποιεί την υπηρεσία Firebase Cloud Messaging της Google για λήψη απομακρυσμένων εντολών, επιτρέποντας στους εισβολείς να προωθήσουν οδηγίες απευθείας σε μολυσμένες συσκευές χωρίς να δημιουργούν παραδοσιακές συνδέσεις εντολών και ελέγχου.

Η τεχνική ανάλυση αποκάλυψε ότι το κακόβουλο λογισμικό περιλαμβάνει κωδικοποιημένα διαπιστευτήρια και κλειδιά API για τηλεμετρία και διαχείριση συσκευών.

Οι εφαρμογές ζητούν επικίνδυνα δικαιώματα, συμπεριλαμβανομένης της πρόσβασης ανάγνωσης-εγγραφής σε εξωτερικό αποθηκευτικό χώρο, επιτρέποντας στους εισβολείς να εκμεταλλεύονται ευαίσθητα δεδομένα και να τοποθετούν πρόσθετα ωφέλιμα φορτία.

Μια ιδιαίτερα ανησυχητική ανακάλυψη αφορούσε πολλά δείγματα APK που μοιράζονται έναν κοινό τομέα: jp-api.namesvr.dev, ο οποίος λειτουργεί ως κεντρικός διακομιστής εντολών και ελέγχου που συντονίζει τις λειτουργίες κακόβουλου λογισμικού.

Η υποδομή εκτείνεται πέρα ​​από τις συσκευές Android σε παραβιασμένους υποτομείς σε κυβερνητικούς και εταιρικούς διακομιστές.

Οι εισβολείς ανέπτυξαν reverse proxies που βασίζονται στο NGINX που τερματίζουν τις συνδέσεις TLS σε νόμιμα ονόματα τομέα της κυβέρνησης, αποκρύπτοντας ουσιαστικά την κακόβουλη κυκλοφορία εντολών και ελέγχου ως νόμιμες κυβερνητικές επικοινωνίες.

Πάνω από 51.000 κλεμμένα διαπιστευτήρια που προέρχονται από πλατφόρμες τυχερών παιχνιδιών, μολυσμένες συσκευές Android και παραβιασμένοι υποτομείς ανακαλύφθηκαν να κυκλοφορούν σε φόρουμ σκοτεινού ιστού, συνδέοντας άμεσα τα δεδομένα των θυμάτων με αυτήν την υποδομή.

Αυτή η επιχείρηση δείχνει πώς οι εγκληματίες του κυβερνοχώρου μπορούν να οπλίσουν αξιόπιστη υποδομή σε μαζική κλίμακα, διατηρώντας παράλληλα την επιχειρησιακή ασφάλεια μέσω της ποικιλομορφίας των τομέων και των εξελιγμένων μηχανισμών φοροδιαφυγής.