- Malanta.ai scopre un'infrastruttura di cybercrime indonesiana attiva da 14 anni, che assomiglia a operazioni sponsorizzate da uno Stato
- La rete si estende su oltre 320.000 domini, ha dirottato sottodomini governativi e include migliaia di app Android cariche di malware.
- La campagna ha rubato oltre 50.000 credenziali di gioco d'azzardo e ha utilizzato AWS e Firebase per il C2, sollevando sospetti di coinvolgimento statale.
I ricercatori di sicurezza hanno scoperto in Indonesia un'enorme infrastruttura di cybercrime che operava indisturbata da oltre 14 anni.
La durata dell'operazione, i domini coinvolti, il malware fatto circolare e i dati venduti sul mercato nero erano così vasti che i ricercatori – Malanta.ai – hanno affermato che la campagna assomiglia più a un'operazione condotta da un attore statale che non a quella di "semplici" criminali informatici.
"Ciò che è iniziato come un insieme di semplici siti web di gioco d'azzardo si è evoluto in un'infrastruttura di attacco globale, ben finanziata, sofisticata e di livello paragonabile a quello di uno Stato, che opera su web, cloud e mobile", ha dichiarato Malanta in un blog pubblicato di recente.
Is the government involved?
Secondo il rapporto, l'operazione era attiva almeno dal 2011. Gli operatori controllavano più di 320.000 domini, inclusi oltre 90.000 domini hackerati e dirottati. Controllavano anche oltre 1.400 sottodomini compromessi e 236.000 acquistati, tutti utilizzati per reindirizzare gli utenti a piattaforme di gioco d'azzardo illegali.
A peggiorare le cose, alcuni dei sottodomini compromessi si trovavano su server governativi e aziendali. In alcuni casi, gli attori della minaccia hanno distribuito reverse proxy basati su NGINX per interrompere le connessioni TLS su nomi di dominio governativi legittimi, nascondendo così il loro traffico C2 (comando e controllo) come comunicazioni governative legittime.
Poi c'è l'ecosistema del malware: i ricercatori hanno trovato "migliaia" di applicazioni Android dannose, distribuite tramite infrastrutture pubbliche (bucket S3 di Amazon Web Services).
Queste app fungevano da dropper, spacciandosi per piattaforme di gioco d'azzardo legittime e distribuendo al contempo malware che garantiva il pieno accesso ai dispositivi compromessi in background. I backdoor ricevevano i loro comandi direttamente da un altro pezzo di infrastruttura pubblica: il servizio Firebase Cloud Messaging di Google.
Ciò ha portato al furto di oltre 50.000 credenziali di accesso a piattaforme di gioco d'azzardo, a innumerevoli dispositivi Android infetti e a sottodomini dirottati che circolavano nel dark web. Per proteggervi da furti di credenziali di questo tipo, è fondamentale utilizzare i migliori password manager.
"E se questo ecosistema non fosse semplicemente cybercrime?" hanno speculato i ricercatori.
Normalmente, la portata, la scala e il supporto finanziario dietro un'infrastruttura di questo tipo si allineano molto più strettamente con le capacità tipicamente associate agli attori di minacce sponsorizzati da uno Stato.