Исследование связывает Suncity Group с FUNNULL в азартных играх и мошенничестве с фишингом

Недавнее расследование от Silent Push выявило связи между азартными играми, отмыванием денег и мошенничеством с использованием фишинга, все это связано с противоречивой сетью доставки контента FUNNULL.

Полученные данные указывают на то, что FUNNULL является хостом для значительного числа подозрительных веб-сайтов, многие из которых связаны с незаконными азартными играми и мошенническими схемами в розничной торговле.

Одним из ключевых игроков в этой сети является группа Suncity, оператор джанкетов, базирующийся в Макао, которая была вовлечена в скандалы, связанные с отмыванием денег и незаконными азартными играми, как отмечено в расследовании.

Группа, когда-то являвшаяся крупнейшим VIP-оператором на азартной сцене Азии, якобы создала огромную подземную банковскую систему, которая обработала ставки на сумму 100 миллиардов долларов и отмыла 40 миллиардов долларов для преступников.

Несмотря на отрицание любого участия в онлайн-играх, доказательства свидетельствуют о том, что Suncity обеспечивала возможность для китайцев играть в азартные игры онлайн, уклоняясь от строгих антиазартных законов материкового Китая, как отмечалось в расследовании.

Алвин Чау, генеральный директор группы Suncity, был приговорен к 18 годам тюремного заключения в прошлом году за свою роль в этих незаконных действиях. В ходе расследования по Suncity были обнаружены связи с печально известным китайским преступным синдикатом Триада, и было установлено, что группа отмыла 19 миллионов долларов для инфамного северокорейского киберпреступного группировки Лазарь.

Что еще более тревожно — это масштаб онлайн-инфраструктуры Suncity. Исследователи обнаружили более 6500 хост-имен, сгенерированных алгоритмом (DGA), связанных с азартными играми группы и размещенных на CDN FUNNULL.

Дальнейшие исследования сайтов Suncity обнаружили ссылки на аккаунт GitHub, который содержит шаблоны кода, используемые для создания различных азартных сайтов, размещенных на FUNNULL. Несмотря на то, что эти шаблоны устарели, они показывают, как одна сущность может быть ответственна за разработку большой части азартных сайтов в сети.

Помимо нелегального азартного игрового бизнеса, Silent Push раскрыл другую сторону деятельности FUNNULL: фишинговые атаки, нацеленные на крупные розничные бренды.

Было обнаружено более 650 доменов, на которых размещались поддельные страницы входа для таких компаний, как Chanel, Cartier и eBay. Эти фишинговые сайты созданы с целью обмануть пользователей и заставить их ввести свои учетные данные, которые затем крадут и, вероятно, продают или используют для дальнейших кибератак.

Фишинговые сайты имели схожую структуру кода, что говорит о координированной кампании. По данным отчета, масштаб этих мошеннических схем огромен. FUNNULL занимается не только хостингом сайтов для азартных игр и фишинга; он также участвует в атаках на поставки.

Ранее в этом году группа захватила контроль над популярной JavaScript-библиотекой polyfill.io, используемой более чем 110 000 сайтами по всему миру. Изменив код, FUNNULL смог перенаправить пользователей на азиатские сайты с азартными играми, повлияв на огромное количество сайтов, многие из которых даже не подозревали о злонамеренных перенаправлениях.

Использование криптовалют, в частности Tether (USDT), также активно встречается в нелегальной деятельности, проводимой на FUNNULL. Многие игорные сайты стимулируют пользователей вносить средства в Tether, что облегчает перемещение денег без обнаружения.

Это добавляет ещё один слой сложности к уже запутанной сети преступной деятельности. Полученные данные вызвали серьезные опасения по поводу роли CDN, таких как FUNNULL, в содействии киберпреступности.

Хотя сети доставки контента созданы для ускорения интернет-трафика, недобросовестные операторы, такие как FUNNULL, используют свою инфраструктуру, чтобы скрывать незаконные действия за слоями сложности, что усложняет задачу властям в отслеживании истоков мошенничества.