يكشف الخبراء عن شبكة الجرائم الإلكترونية الصينية وراء المقامرة والاتجار بالبشر

العلاقة بين TDSs و DNS المختلفة المرتبطة بـ Vigorish Viper وتجربة الهبوط النهائية للمستخدم

تستخدم إحدى عصابات الجريمة المنظمة الصينية التي لها صلات بغسل الأموال والاتجار بالبشر عبر جنوب شرق آسيا “مجموعة تكنولوجية” متقدمة تدير نطاق سلسلة توريد الجرائم الإلكترونية بالكامل لقيادة عملياتها.

إنفوبلوكس هو تتبع المالك والمشرف تحت اللقب الأفعى النشطة، مع الإشارة إلى أنه تم تطويرها بواسطة مجموعة Yabo Group (المعروفة أيضًا باسم Yabo Sports)، والتي ارتبطت في الماضي بعمليات قمار غير قانونية وعمليات احتيال لذبح الخنازير. في أواخر عام 2022، تم تغيير علامتها التجارية إلى Kaiyun Sports وتم استيعابها منذ ذلك الحين في كيان آخر تم تشكيله حديثًا يسمى Ponymuah.

تشمل المجموعة، التي يتم تسويقها في الصين باسم “baowang” (“包网،” وتعني الحزمة الكاملة) عدة مكونات مثل تكوينات نظام اسم المجال (DNS)، واستضافة مواقع الويب، وآليات الدفع، والإعلانات، وتطبيقات الهاتف المحمول. كما أنها تستضيف الآلاف من أسماء النطاقات والعديد من العلامات التجارية في بنية تحتية مرتبطة بهونج كونج والصين.

تعتمد المؤسسة على تأمين رعاية أندية كرة القدم الأوروبية باستخدام شركات واجهة أو علامات تجارية بيضاء، واستخدامها “كمضاعف قوة” للإعلان عن مواقع المقامرة غير القانونية في المنطقة بهدف جذب المزيد من المراهنين. وفي يوليو 2023، كان ذكرت ظهرت شعارات شركات المراهنة هذه ما يصل إلى 3500 مرة خلال مباراة كرة قدم متلفزة.

تعد Yabo وPonymuah والفروع الأخرى ذات الصلة مثل OB (المعروفة أيضًا باسم OBGM) وDB Gaming وPanda Sports وKM Gaming وSmart King Games (SKG) جزءًا من شبكة Vigorish Viper المترامية الأطراف، مما يسلط الضوء على الملكية المتشابكة والغامضة لشركات القمار والخطوات المضنية المتخذة لتجنب التدقيق.

لم تكن أندية كرة القدم الإنجليزية فقط هي التي شاركت في هذه الرعاية، حيث كشف التحقيق أن فرق الكريكيت والكابادي في الهند دخلت أيضًا في اتفاقيات رعاية مماثلة للإعلان عن العلامات التجارية Vigorish Viper.

“تدير Vigorish Viper شبكة واسعة تضم أكثر من 170.000 اسم نطاق نشط، وتتجنب الكشف وتنفيذ القانون من خلال استخدامها المتطور لأنظمة توزيع حركة مرور DNS CNAME،” هذا ما قاله باحثو Infoblox Maël Le Touz، وJacques Portal، وRenée Burton، وElena Puga في تقرير شامل. تمت مشاركتها مع The Hacker News.

“بالإضافة إلى المقامرة، فإن CNAME لـ Vigorish Viper [traffic distribution systems] خدمة البث غير القانوني والمواقع الإباحية. بعض النطاقات المستخدمة للبث هي نطاقات مسجلة منذ فترة طويلة والتي التقطتها Vigorish Viper بعد انتهاء صلاحية التسجيل الأصلي.”

ووصف بيرتون، نائب رئيس استخبارات التهديدات في Infoblox، جهة التهديد بأنها “واحدة من أكثر التهديدات تعقيدًا وأهمية للأمن الرقمي” التي تم اكتشافها حتى الآن.

نظرة عامة على برنامج الرعاية الرياضية الخاص بشركة Vigorish Viper

وقال بيرتون في بيان: “أنشأت Vigorish Viper بنية تحتية معقدة ذات طبقات متعددة من أنظمة توزيع حركة المرور (TDS) باستخدام سجلات DNS CNAME وJavaScript، مما يجعل اكتشافها صعبًا للغاية”. “يتم استكمال هذه الأنظمة باتصالاتها المشفرة والتطبيقات المطورة خصيصًا، مما يجعل أنشطتها ليس فقط بعيدة المنال ولكنها أيضًا مرنة بشكل ملحوظ.”

وهذا يستلزم استخدام سجلات DNS CNAME لإعادة توجيه حركة المرور من نطاق إلى آخر، وهي تقنية تم اعتمادها سابقًا من قبل جهات فاعلة أخرى تهدد نظام أسماء النطاقات مثل Savvy Seahorse. علاوة على ذلك، يتمتع النظام بالقدرة على التمييز بين عناوين IP السكنية والمتنقلة والتجارية في الصين.

وفي وقت سابق من شهر يناير الجاري، أطلقت مبادرة “العب اللعبة” التي أطلقها المعهد الدنماركي للدراسات الرياضية مكشوف روابط بين العشرات من أندية كرة القدم الأوروبية وعلامات المقامرة غير القانونية التي يمكن إرجاعها إلى يابو وتستهدف الولايات القضائية مثل الصين حيث يُحظر المقامرة وتعتبر جريمة منظمة.

الجرائم عبر الإنترنت لها أيضًا جانب غير متصل بالإنترنت يتضمن الاتجار بالبشر حيث يتم إغراء الأشخاص بوعد وظائف ذات رواتب عالية ويتم إجبارهم على دعم خطط المراهنات الرياضية والترويج لعمليات احتيال ذبح الخنازير وغيرها من عمليات احتيال العملات المشفرة، وفقًا لاتحاد السباق الآسيوي (ARF).

“يعمل البعض في فرق مكونة من 8 إلى 10 أشخاص، وينسق البعض مع المعلقين والمذيعين للرياضة الحية (من المفترض أن تكون على تدفقات القراصنة) للترويج لمجموعات الدردشة الحية لتسويق مواقع المراهنة أثناء المباريات،” وفقًا لما ذكره أحد التقارير. تقرير [PDF] صدر عن ARF في أكتوبر 2023. “يعمل آخرون كمديري علاقات لتشجيع العملاء على مواصلة الرهان وآخرون كوكلاء توظيف مباشرين للعملاء.”

الخطوات الفاصلة بين زيارة المستخدم لموقع ما والبدء في وضع الرهانات

قالت Infoblox إن تحقيقها الخاص في Vigorish Viper نشأ من مجال واحد شاذ، kb[.]com – موقع مقامرة يُدعى KB Sports يستخدم خوادم أسماء صينية – والذي يستضيف أيضًا yabo[.]com، اسم النطاق الخاص بـ Yabo Sports.

أحد الجوانب المثيرة للاهتمام التي يجب ملاحظتها هنا هو أن الموقع محظور جغرافيًا على المستخدمين الموجودين في فرنسا وأماكن أخرى في أوروبا، ولكن يمكن الوصول إليه من البر الرئيسي للصين والمناطق الإدارية الخاصة في هونغ كونغ وماكاو.

“عند زيارته من إحدى هذه المناطق، تتم إعادة توجيه المستخدم إلى مجال آخر – على سبيل المثال، kb830[.]وأشار الباحثون إلى أن “مجال إعادة التوجيه يتغير بمرور الوقت. بالإضافة إلى ذلك، يتم تعطيل جميع وظائف “النقر بزر الماوس الأيمن” على الموقع، وكذلك تحديد النص، مما يعيق الجهود المبذولة للتحقيق في الموقع أو نسخه.

يتم بعد ذلك تقديم إعلانات لمستخدمي موقع الويب تروج للحوافز المالية للمراهنة بانتظام، إلى جانب خيارات الدفع باستخدام WeChat Pay وEBpay وAlipay وJD Pay وKOIPay وAstroPay وYunShanFu وUniPay وNet Pay وFast Pay وNetBank. تتم المراهنة من خلال وكلاء، الذين يضعون الرهانات، ويديرون الودائع، ويتواصلون مع المقامرين من خلال تطبيقات الدردشة المشفرة المخصصة.

كما كشف فحص أعمق لسجلات استعلام DNS عن أدلة على أن أنشطة Vigorish Viper تتجاوز الصين لتستهدف المستخدمين في جميع أنحاء العالم.

تشتمل بعض آليات الدفاع الأخرى المضمنة في هذه المواقع على التحقق بشكل دوري من علامات النشاط الآلي وتقديم لغز CAPTCHA للزائرين في محاولة لتجنب جهود المسح المحتملة، أو عند محاولة الوصول إلى دعم العملاء، وهي مهمة يقوم بها أشخاص حقيقيون تم تهريبها إلى جنوب شرق آسيا.

هذا ليس كل شئ. يخضع المستخدمون الذين يزورون أحد نطاقات العلامة التجارية Vigorish Viper لجولات متعددة من اختبارات بصمات الأصابع للتحقق من أن عنوان IP موجود في الصين وأنهم شرعيون، قبل السماح لهم بالمراهنة على المواقع.

وقالت الشركة: “يربط كل من DNS والبرنامج مؤسسة Vigorish Viper بأكملها بـ Yabo Sports أو Yabo Group”. “ويمتد نطاق وصولها إلى العشرات من العلامات التجارية، وربما المئات، وتستهدف المستخدمين خارج جنوب شرق آسيا.”

“على الرغم من العدد الهائل من أسماء النطاقات والمواقع الإلكترونية والتطبيقات المصاحبة، إلى جانب التواجد العلني في نظر الجمهور، فإن Vigorish Viper تعمل بشكل مباشر وغير مفهوم في جمهورية الصين الشعبية دون عواقب ذات معنى.”