Um dos maiores ataques à cadeia de abastecimento digital do ano foi lançado por uma empresa pouco conhecida que redirecionou um grande número de utilizadores da Internet para uma rede de sites de jogos de azar imitadores, de acordo com investigadores de segurança.
No início deste ano, uma empresa chamada FUNNULL comprou Polyfill.ioum domínio que hospeda uma biblioteca JavaScript de código aberto que, se incorporada em sites, pode permitir que navegadores desatualizados executem recursos encontrados em navegadores mais recentes. Uma vez no controle do Polyfill.io, FUNNULL usou o domínio para essencialmente realizar um ataque à cadeia de suprimentos, como a empresa de segurança cibernética Sansec relatou em junhoonde FUNNULL assumiu um serviço legítimo e abusou de seu acesso a potencialmente milhões de sites para enviar malware aos seus visitantes.
No momento da aquisição do Polyfill.io, o autor original do Polyfill avisou que nunca foi proprietário do domínio Polyfill.io e sites sugeridos removem completamente o código Polyfill hospedado para evitar riscos. Além disso, os provedores de rede de distribuição de conteúdo Cloudflare e Fastly lançaram seus próprios espelhos do Polyfill.io para oferecer uma alternativa segura e confiável para sites que desejam continuar usando a biblioteca Polyfill.
Não está claro qual foi exatamente o objetivo do ataque à cadeia de abastecimento mas Willem de Groot o fundador da Sansec escreveu no X na época que parecia ser uma tentativa “risivelmente ruim” de monetização.
Agora, pesquisadores de segurança da Silent Push dizem que mapearam uma rede de milhares de sites de jogos de azar chineses e a vincularam ao FUNNULL e ao ataque à cadeia de suprimentos Polyfill.io.
De acordo com o relatório dos pesquisadoresque foi compartilhado antecipadamente com o TechCrunch, FUNNULL estava usando seu acesso ao Polyfill.io para injetar malware e redirecionar visitantes do site para essa rede maliciosa de sites de cassino e jogos de azar online.
“Parece provável que esta ‘rede de jogos de azar online’ seja uma fachada”, disse Zach Edwards, analista sênior de ameaças e um dos pesquisadores que trabalharam no relatório Silent Push, ao TechCrunch. Edwards acrescentou que FUNNULL está “operando o que parece ser uma das maiores redes de jogos de azar online da Internet”.
Pesquisadores do Silent Push disse em seu relatório que eles foram capazes de identificar cerca de 40.000 sites, em sua maioria de língua chinesa, hospedados pelo FUNNULL, todos com domínios de aparência semelhante e provavelmente gerados automaticamente, compostos por uma dispersão de letras e números aparentemente aleatórios. Esses sites pareciam representar marcas de jogos de azar online e cassinos, incluindo Sands, um conglomerado de cassinos proprietário do Venetian Macau; o Grand Lisboa em Macau; Grupo Sun City; bem como os portais de jogos de azar online Bet365 e Bwin.
Chris Alfred, porta-voz da Entain, empresa controladora da Bwin, disse ao TechCrunch que a empresa “pode confirmar que este não é um domínio que possuímos, então parece que o proprietário do site está infringindo nossa marca Bwin, então tomaremos medidas para resolver esse.”
Sands, SunCity Group, Macau Grand Lisboa e Bet365 não responderam a vários pedidos de comentários.
Edwards disse ao TechCrunch que ele e seus colegas encontraram a conta GitHub de um desenvolvedor FUNNULL, que discutiu “movimentação de dinheiro”, uma expressão que eles acreditam se referir à lavagem de dinheiro. A página do GitHub também continha links para canais do Telegram que incluem menções a marcas de jogos de azar representadas na rede de sites de spam, bem como conversas sobre movimentação de dinheiro.
“E esses sites são todos para movimentação de dinheiro ou seu objetivo principal”, disse Edwards.
A rede suspeita de sites, segundo Edwards e seus colegas, está hospedada em Rede de distribuição de conteúdo da FUNNULLou CDN, cujo site reivindicações ser “Made in USA”, mas lista vários endereços de escritórios no Canadá, Malásia, Filipinas, Singapura, Suíça e Estados Unidos, que parecem ser locais sem endereços listados no mundo real.
Em seu perfil no HUIDU, um centro para a indústria de jogos de azar, FUNNULL diz possui “mais de 30 data centers no continente”, provavelmente referindo-se à China continental, e possui uma “sala de servidores automatizados de alta segurança na China”.
Para uma empresa de tecnologia ostensiva, a FUNNULL torna difícil alcançar seus representantes. O TechCrunch fez esforços para entrar em contato com a empresa para obter comentários e fazer perguntas sobre seu papel no aparente ataque à cadeia de suprimentos, mas não recebeu respostas às nossas perguntas.
Em seu site, FUNNULL lista um endereço de e-mail que não existe; um número de telefone que a empresa afirma estar no WhatsApp, mas não foi encontrado; o mesmo número que no WeChat parece pertencer a uma mulher em Taiwan sem nenhuma afiliação ao FUNNULL; uma conta do Skype que não respondeu aos nossos pedidos de comentários; e uma conta do Telegram que se identifica apenas como “Sara” e tem o logotipo FUNNULL como avatar.
“Sara” no Telegram respondeu a um pedido de comentário – enviado pelo TechCrunch em chinês e inglês – contendo uma série de perguntas para este artigo dizendo: “Não entendemos o que você disse” e parou de responder. O TechCrunch também conseguiu identificar uma série de endereços de e-mail válidos de propriedade da FUNNULL, nenhum dos quais respondeu aos pedidos de comentários.
Uma empresa chamada ACB Group afirmou ser proprietária do FUNNULL em uma versão arquivada de seu site oficialque agora está offline. O Grupo ACB não pôde ser contatado pelo TechCrunch.
Com acesso a milhões de sites, o FUNNULL poderia ter lançado ataques muito mais perigosos, como instalar ransomware, malware de limpezaou spywarecontra os visitantes dos sites com spam. Estes tipos de ataques à cadeia de abastecimento são cada vez mais possíveis porque a Web é agora uma rede global complexa de websites que são muitas vezes construídos com ferramentas de terceiros, controladas por terceiros que, por vezes, podem revelar-se maliciosas.
Desta vez, o objetivo aparentemente era monetizar uma rede de sites com spam. Da próxima vez, poderia ser muito pior.