Einer der größten Angriffe auf die digitale Lieferkette des Jahres wurde laut Sicherheitsforschern von einem wenig bekannten Unternehmen gestartet, das eine große Anzahl von Internetnutzern auf ein Netzwerk von Nachahmer-Glücksspielseiten umleitete.
Anfang dieses Jahres gründete ein Unternehmen namens FUNNULL Polyfill.io gekaufteine Domain, die eine Open-Source-JavaScript-Bibliothek hostet, die – wenn sie in Websites eingebettet ist – es veralteten Browsern ermöglichen kann, Funktionen neuerer Browser auszuführen. Nachdem FUNNULL die Kontrolle über Polyfill.io erlangt hatte, nutzte es die Domain, um im Grunde einen Supply-Chain-Angriff durchzuführen. wie das Cybersicherheitsunternehmen Sansec im Juni berichtetewo FUNNULL einen legitimen Dienst übernommen und seinen Zugriff darauf missbraucht hat potenziell Millionen von Websites um Malware an ihre Besucher weiterzugeben.
Zum Zeitpunkt der Übernahme von Polyfill.io der ursprüngliche Polyfill-Autor warnte, dass ihm die Domain Polyfill.io nie gehörte und empfohlene Websites entfernen den gehosteten Polyfill-Code vollständig, um Risiken zu vermeiden. Außerdem haben die Anbieter von Content-Delivery-Netzwerken Cloudflare und Fastly ihre eigenen Mirrors von Polyfill.io herausgebracht, um Websites, die die Polyfill-Bibliothek weiterhin nutzen möchten, eine sichere, vertrauenswürdige Alternative anzubieten.
Es ist unklar, was genau das Ziel des Supply-Chain-Angriffs war, aber Willem de Groot, der Gründer von Sansec, schrieb damals auf X dass es ein „lächerlich schlechter“ Monetarisierungsversuch zu sein schien.
Jetzt sagen Sicherheitsforscher von Silent Push, dass sie ein Netzwerk aus Tausenden chinesischen Glücksspielseiten kartiert und es mit FUNNULL und dem Lieferkettenangriff Polyfill.io in Verbindung gebracht haben.
Laut dem Bericht der Forscherdas Tech im Voraus mitgeteilt wurde, nutzte FUNNULL seinen Zugriff auf Polyfill.io, um Malware einschleusen und umleiten Website-Besucher auf dieses bösartige Netzwerk von Casino- und Online-Glücksspielseiten zu verweisen.
„Es scheint wahrscheinlich, dass dieses ‚Online-Glücksspielnetzwerk‘ eine Tarnung ist“, sagte Zach Edwards, ein leitender Bedrohungsanalyst und einer der Forscher, die am Silent Push-Bericht gearbeitet haben, gegenüber Tech. Edwards fügte hinzu, dass FUNNULL „einen der scheinbar größten Online-Glücksspielringe im Internet betreibt“.
Silent Push-Forscher sagten sie in ihrem Bericht dass sie rund 40.000 überwiegend chinesischsprachige Websites identifizieren konnten, die von FUNNULL gehostet wurden, alle mit ähnlich aussehenden und wahrscheinlich automatisch generierten Domains, die aus einer Ansammlung scheinbar zufälliger Buchstaben und Zahlen bestanden. Diese Websites schienen Online-Glücksspiel- und Casino-Marken nachzuahmen, darunter Sands, ein Casino-Konglomerat, dem Venetian Macau gehört; das Grand Lisboa in Macau; SunCity-Gruppe; sowie die Online-Glücksspielportale Bet365 und Bwin.
Chris Alfred, ein Sprecher von Entain, der Muttergesellschaft von Bwin, sagte gegenüber Tech, dass das Unternehmen „bestätigen kann, dass es sich nicht um eine Domain handelt, die uns gehört, sodass es den Anschein hat, dass der Websitebesitzer gegen unsere Marke Bwin verstößt, weshalb wir Maßnahmen zur Lösung ergreifen werden.“ Das.“
Sands, SunCity Group, Macau Grand Lisboa und Bet365 antworteten nicht auf mehrere Anfragen nach Kommentaren.
Edwards erzählte Tech, dass er und seine Kollegen das GitHub-Konto eines FUNNULL-Entwicklers gefunden hätten, der über „Geldbewegungen“ sprach, ein Ausdruck, der sich ihrer Meinung nach auf Geldwäsche bezieht. Die GitHub-Seite enthielt auch Links zu Telegram-Kanälen, die Erwähnungen der Glücksspielmarken enthielten, die im Netzwerk der Spam-Websites nachgeahmt wurden, sowie Gespräche über den Geldtransfer.
„Und diese Websites dienen alle dazu, Geld zu bewegen, oder sind ihr Hauptzweck“, sagte Edwards.
Laut Edwards und seinen Kollegen wird das verdächtige Netzwerk von Websites auf gehostet Das Content-Delivery-Netzwerk von FUNNULLoder CDN, dessen Website Ansprüche „Made in USA“ sein, aber Listen mehrere Büroadressen in Kanada, Malaysia, den Philippinen, Singapur, der Schweiz und den Vereinigten Staaten, die allesamt Orte zu sein scheinen, an denen in der realen Welt keine Adressen aufgeführt sind.
Auf seinem Profil auf HUIDU, einer Drehscheibe für die Glücksspielbranche, FUNNULL sagt Es verfügt über „mehr als 30 Rechenzentren auf dem Kontinent“, was sich wahrscheinlich auf das chinesische Festland bezieht, und es verfügt über einen „automatisierten Hochsicherheitsserverraum in China“.
Für ein angebliches Technologieunternehmen macht FUNNULL seine Vertreter schwer zu erreichen. Tech bemühte sich, das Unternehmen zu kontaktieren, um eine Stellungnahme einzuholen und ihm Fragen zu seiner Rolle bei dem offensichtlichen Angriff auf die Lieferkette zu stellen, erhielt jedoch keine Antworten auf unsere Anfragen.
FUNNULL listet auf seiner Website eine E-Mail-Adresse auf, die nicht existiert; eine Telefonnummer, die nach Angaben des Unternehmens auf WhatsApp zu finden ist, aber nicht erreichbar war; dieselbe Nummer, die auf WeChat offenbar einer Frau in Taiwan gehört, die nicht mit FUNNULL verbunden ist; ein Skype-Konto, das nicht auf unsere Anfragen nach Kommentaren reagierte; und ein Telegram-Konto, das sich nur als „Sara“ identifiziert und das FUNNULL-Logo als Avatar hat.
„Sara“ auf Telegram antwortete auf eine von Tech auf Chinesisch und Englisch gesendete Anfrage nach einem Kommentar mit einer Reihe von Fragen zu diesem Artikel, in der es hieß: „Wir verstehen nicht, was Sie gesagt haben“, und antwortete nicht mehr. Tech konnte außerdem eine Reihe gültiger E-Mail-Adressen im Besitz von FUNNULL identifizieren, von denen keine auf Anfragen nach Kommentaren reagierte.
Ein Unternehmen namens ACB Group behauptete, FUNNULL zu besitzen eine archivierte Version seiner offiziellen Websitedas jetzt offline ist. ACB Group konnte von Tech nicht erreicht werden.
Mit dem Zugriff auf Millionen von Websites hätte FUNNULL weitaus gefährlichere Angriffe starten können, wie etwa die Installation von Ransomware, Wiper-Malwareoder Spyware, gegen die Besucher der Spam-Websites. Angriffe dieser Art auf die Lieferkette werden zunehmend möglich, da das Web mittlerweile ein komplexes globales Netzwerk von Websites ist, die oft mit Tools von Drittanbietern erstellt werden und von Dritten kontrolliert werden, die sich manchmal als bösartig erweisen können.
Diesmal bestand das Ziel offenbar darin, ein Netzwerk von Spam-Sites zu monetarisieren. Das nächste Mal könnte es viel schlimmer sein.