Biztonsági kutatók egy rendkívül kiterjedt kibercsaló hálózatot tártak fel Indonéziában, amely megszakítás nélkül működött legalább 14 éven keresztül. A Malanta.ai elemzése szerint a rendszer mérete, kifinomultsága és pénzügyi háttere messze túlmutat azon, amit hagyományos kiberbűnözői csoportoktól megszokhattunk.
A kutatás szerint az infrastruktúra kezdetben egyszerű online szerencsejáték-oldalakból indult ki, majd az évek során globális, jól finanszírozott támadóhálózattá nőtte ki magát. A kampány webes, felhőalapú és mobilplatformokon egyaránt aktív volt, és működése sokkal inkább emlékeztetett egy állami szintű műveletre, mint elszigetelt bűnözői akciókra.
A feltárt hálózat több mint 320 ezer domaint foglalt magában. Ezek közül közel 90 ezer feltört vagy eltérített domain volt, emellett több mint 1 400 kompromittált aldomain és mintegy 236 ezer legálisan megvásárolt cím szolgálta a felhasználók illegális szerencsejáték-oldalakra való átirányítását.
A helyzetet súlyosbítja, hogy a kompromittált aldomainok egy része kormányzati és nagyvállalati szerverekhez tartozott. Egyes esetekben a támadók NGINX-alapú fordított proxykat használtak arra, hogy megszakítsák a TLS-kapcsolatokat, és a vezérlőszerverekkel folytatott kommunikációt legitim kormányzati adatforgalomnak álcázzák.
A kutatók egy kiterjedt mobilkártevő-ökoszisztémát is azonosítottak. Több ezer fertőzött Android-alkalmazás került elő, amelyeket nyilvános felhőszolgáltatásokon, például Amazon Web Services S3 tárhelyeken terjesztettek. Ezek az alkalmazások látszólag ártalmatlan szerencsejáték-appoknak tűntek, valójában azonban kártékony kódot töltöttek le, amely teljes hozzáférést biztosított az érintett eszközökhöz.
A fertőzött telefonok vezérléséhez a támadók a Google Firebase Cloud Messaging szolgáltatását használták, így a parancsok legitim infrastruktúrán keresztül jutottak el az áldozatok készülékeire. Ennek eredményeként több mint 50 ezer bejelentkezési adat került ki szerencsejáték-platformokról, valamint megszámlálhatatlan Android-eszköz vált kompromittálttá.
A Malanta.ai kutatói szerint a hálózat mérete, időtartama és technikai kifinomultsága komoly kérdéseket vet fel. Bár közvetlen bizonyíték nincs állami részvételre, az ilyen volumenű és hosszú távon fenntartható infrastruktúra inkább olyan erőforrásokra utal, amelyek jellemzően állami hátterű fenyegető szereplőknél fordulnak elő.
A szakértők szerint az ügy jól mutatja, mennyire elmosódhat a határ a szervezett kiberbűnözés és az állami szintű kiberműveletek között, különösen akkor, amikor legitim felhőszolgáltatásokat és kormányzati domaineket használnak fel a támadások elfedésére.
