Na první pohled to působilo jako další z dlouhé řady hazardních podvodů, které lákají uživatele na falešné výhry a mezitím vysávají jejich účty. Jenže současný případ je jiný. Výzkumníci zjistili, že infrastruktura budovaná už od roku 2010 je tak rozsáhlá, propracovaná a finančně nákladná, až to přestává zapadat do běžného obrazu klasických kyberzločinců.

Síť vznikla kolem podvodných hazardních webů, které míří hlavně na uživatele z Indonésie, kde je online hraní zakázané. Útočníci k rozšiřování použili jednoduchý, ale účinný postup. Vyhledávali špatně nastavené weby ve WordPressu nebo starší aplikace v PHP, které měly známé slabiny či zanechané webshell skripty. Po získání přístupu instalovali zadní vrátka označovaná jako GSocket a na kompromitované servery umisťovali hazardní obsah.

Rozsah, který nedává smysl běžné kriminalitě

Letos se ale začalo ukazovat, že hazardní projekty jsou jen malou částí celku. Podle nejnovější analýzy se síť skládá ze 328 tisíc domén, z nichž třetina byla získána napadením legitimních webů. Jde také o téměř 1500 unesených subdomén, často patřících velkým společnostem nebo dokonce státním institucím.

Zdroj: Shutterstock

Náklady na provoz takového ekosystému jsou obrovské. Podle odborných odhadů může jít až o desítky milionů korun ročně. To je částka, která dalece přesahuje běžné schopnosti skupin zaměřených jen na rychlý zisk. Právě tady začíná vznikat podezření, že hazardní operace není primární účel, ale spíše způsob, jak infrastrukturu financovat a maskovat.

Malanta, která detailní analýzu představila, popisuje prvky obvykle spojované s pokročilými hrozbami typu APT. Patří mezi ně masové zneužívání redakčních systémů, tisíce falešných aplikací pro Android, desítky účtů na GitHubu určených pro šíření škodlivého kódu a velmi nenápadné techniky hijackingu subdomén, kdy útočníci přebírají kontrolu nad adresami, o které jejich původní majitelé přestali pečovat.

Nebezpečnější využití než falešné kasino

Za nejvážnější moment odborníci považují možnost, že převzaté subdomény mohou útočníkům poskytovat přístup k citlivým částem systémů. Pokud patří velké firmě nebo úřadu, lze skrze ně získat session cookie jiné interní služby. V extrémních případech umožní taková cookie dálkový přístup do neveřejných systémů nebo vytvoří kanál pro nenápadnou komunikaci škodlivého softwaru.

Výzkumníci také popsali techniku, kdy útočníci provozují reverzní proxy servery na adresách, které vypadají jako legitimní státní weby. Datový provoz má platný certifikát a působí naprosto důvěryhodně. V praxi to znamená, že škodlivé velení a řízení může probíhat tak, že připomíná běžnou komunikaci státní instituce. To je sen každého aktéra, který potřebuje maskovat dlouhodobé kybernetické operace.

Část informací naznačuje, že síť sbírá i uživatelská data z hazardních stránek a kompromitovaných subdomén. Jen volně dostupných přihlašovacích údajů bylo identifikováno více než padesát tisíc. Ty mohou být používány k dalším útokům nebo prodávány na nelegálních trzích.

Odborníci nevylučují, že jde skutečně o kombinaci dvou světů. Hazardní byznys přináší stabilní tok peněz, zatímco infrastruktura zároveň poskytuje prostředky pro složitější operace, které mohou mít úplně jiné zadání. Přímý důkaz o zapojení konkrétní země neexistuje, náznaky ale vedou k závěru, že za celým projektem stojí mnohem víc než jen touha rychle vydělat.