运行14年的网赌诈骗体系，背后可能是国家级黑客行动

研究人员发现，一个运行了14年的网络赌博诈骗体系，规模和技术复杂度远超普通犯罪，可能同时被国家级黑客利用，用于对欧美政府和企业发动隐秘网络攻击。

研究人员警告，一个长期通过虚假赌博网站骗钱的网络体系，真实用途可能远不止诈骗。

这个网络已经运作了14年，表面上看，是通过大量赌博网站诱骗用户下注。但安全研究人员认为，这更像是一项双重用途的行动，一方面靠赌博获利，另一方面为国家级网络攻击提供基础设施。

此前，研究人员已经零散追踪过这个体系的部分活动。安全公司Sucuri曾披露，该组织会扫描配置不当的WordPress网站并入侵。Imperva则发现，攻击者还会针对使用PHP开发、存在漏洞或已被植入网页后门的应用下手。

一旦成功入侵，攻击者会安装一种名为GSocket的后门程序，控制服务器并在其上托管赌博网站内容。

这些赌博网站几乎全部面向讲印尼语的用户。由于印尼法律禁止赌博，非法平台对当地人具有吸引力。目前，攻击者控制的236433个域名中，大多数通过Cloudflare托管。而被劫持的1481个合法子域，主要来自Amazon Web Services、Azure和GitHub。

但在安全公司Malanta看来，这些只是冰山一角。

Malanta在本周表示，这套基础设施规模巨大、结构复杂，已经远远超出普通牟利型网络犯罪的范畴。研究人员认为，它很可能被用于针对美国和欧洲的政府机构，以及制造业、交通、医疗、教育等多个行业的网络渗透行动。

他们的判断，来自对成本和投入的估算。14年来，这个网络累计使用了约328000个域名，其中约236000个由攻击者直接购买，约90000个通过入侵合法网站获得。此外，还有近1500个来自真实机构的子域被劫持。

Malanta估算，维持这样一套体系，每年的成本在72.5万美元到1700万美元之间。

更引人警惕的是，这个网络展现出的技术手法高度成熟，包括大规模利用WordPress和PHP漏洞，系统性劫持知名机构的子域，在AWS上运行数千个长期存在的恶意Android应用，使用38个GitHub账号托管恶意代码，悄悄滥用政府域名作为反向代理，以及对搜索引擎优化的系统性操纵。

研究人员指出，持续时间、规模、成本和技术水平的组合，已经明显超出一次性诈骗或普通黑客团伙的能力范围。因此，他们将其归类为高级持续性威胁，也就是APT级别行动，尽管目前还无法直接指向某个具体国家。

另一个重要线索，是攻击目标的选择。攻击者频繁盯上欧美政府机构和大型组织的域名或子域。这些域名往往因为DNS记录过期，或云服务映射被遗弃，而被攻击者趁机接管。

一旦控制这些地址，攻击者就能做很多事，包括搭建仿冒网站诱骗用户，或更隐蔽地窃取同一主域下其他系统的会话Cookie。这类凭证可被用来进一步渗透内部网络，或作为国家级攻击中的隐蔽通信通道。

Malanta在报告中写道，被劫持的政府子域有时会被改造成反向代理，使用合法的HTTPS证书终止加密连接，再把控制指令秘密转发到攻击者的指挥服务器。这样一来，外部流量看起来像是来自政府域名，极难被察觉。

研究人员还发现，部分被劫持的子域继承并使用了主域的会话Cookie。例如，一家总部位于美国、年收入超过160亿美元的跨国公司，其被劫持子域使用的Cookie与主站完全相同。

此外，Malanta识别出超过51000组在地下流通的被盗账号凭证，与这些赌博相关站点存在强关联。研究人员认为，这些凭证可能来自恶意Android应用，或通过被劫持的子域窃取，随后被出售到黑市。

研究团队指出，一种可能性是，这套体系本身就是金融动机黑客与国家级行为者的联合产物。虽然目前没有直接证据证明它已被用于国家级攻击，但所有迹象叠加在一起，强烈指向这一结论。

正如研究人员总结的那样，在这个结构中，赌博既是收入来源，也是掩护。同一套基础设施，既能从普通用户身上赚钱，也能为更隐秘、更敏感的网络行动提供匿名性和通信通道。

本文译自 Ars Technica，由 BALI 编辑发布。