Jannah Theme License is not validated, Go to the theme options page to validate the license, You need a single license for each domain name.
تكنلوجيا الويب

يربط الباحثون هجوم سلسلة التوريد Polyfill بشبكة ضخمة من مواقع المقامرة المقلدة


تم إطلاق واحدة من أكبر الهجمات على سلسلة التوريد الرقمية هذا العام من قبل شركة غير معروفة قامت بإعادة توجيه أعداد كبيرة من مستخدمي الإنترنت إلى شبكة من مواقع المقامرة المقلدة، وفقًا لباحثين أمنيين.

في وقت سابق من هذا العام، قامت شركة تدعى FUNNULL بشراء Polyfill.io، وهو نطاق يستضيف مكتبة جافا سكريبت مفتوحة المصدر والتي – إذا كانت مضمنة في مواقع الويب – يمكن أن تسمح للمتصفحات القديمة بتشغيل الميزات الموجودة في المتصفحات الأحدث. بمجرد السيطرة على Polyfill.io، استخدم FUNNULL المجال لتنفيذ هجوم على سلسلة التوريد بشكل أساسي، كما ذكرت شركة الأمن السيبراني Sansec في يونيو، حيث استحوذت FUNNULL على خدمة مشروعة وأساءت استخدام وصولها إلى ملايين مواقع الويب المحتملة لدفع البرامج الضارة إلى مواقعهم الإلكترونية. الزوار.

في وقت الاستحواذ على Polyfill.io، حذر مؤلف Polyfill الأصلي من أنه لم يمتلك نطاق Polyfill.io مطلقًا واقترح على مواقع الويب إزالة كود Polyfill المستضاف تمامًا لتجنب المخاطر. أيضًا، قام موفرو شبكة توصيل المحتوى Cloudflare و Fastly بوضع مراياهم الخاصة لـ Polyfill.io لتقديم بديل آمن وموثوق لمواقع الويب التي تريد الاستمرار في استخدام مكتبة Polyfill.

من غير الواضح ما هو الهدف من الهجوم على سلسلة التوريد بالضبط، لكن ويليم دي جروت، مؤسس شركة Sansec، كتب على X في ذلك الوقت أنه يبدو أنها محاولة “سيئة بشكل مثير للضحك” لتحقيق الدخل.

الآن، يقول الباحثون الأمنيون في Silent Push إنهم رسموا خريطة لشبكة من آلاف مواقع المقامرة الصينية وربطوها بـ FUNNULL وهجوم سلسلة التوريد Polyfill.io.

وفقًا لتقرير الباحثين، الذي تمت مشاركته مع TechCrunch مسبقًا، كان FUNNULL يستخدم وصوله إلى Polyfill.io لحقن برامج ضارة وإعادة توجيه زوار موقع الويب إلى تلك الشبكة الضارة من مواقع الكازينو والمقامرة عبر الإنترنت.

وقال زاك إدواردز، أحد كبار محللي التهديدات وأحد الباحثين الذين عملوا في تقرير Silent Push، لـ TechCrunch: “يبدو من المحتمل أن تكون “شبكة المقامرة عبر الإنترنت” هذه مجرد واجهة”. وأضاف إدواردز أن FUNNULL “تدير ما يبدو أنه أحد أكبر حلقات المقامرة عبر الإنترنت على الإنترنت.”

قال باحثو Silent Push في تقريرهم إنهم تمكنوا من تحديد حوالي 40 ألف موقع ويب معظمها باللغة الصينية تستضيفها FUNNULL، وكلها ذات نطاقات متشابهة المظهر ومن المحتمل أن يتم إنشاؤها تلقائيًا وتتكون من مجموعة متناثرة من الحروف والأرقام التي تبدو عشوائية. ويبدو أن هذه المواقع تنتحل صفة العلامات التجارية الخاصة بالمقامرة والكازينوهات عبر الإنترنت، بما في ذلك Sands، وهي مجموعة كازينوهات تمتلك شركة Venetian Macau؛ جراند لشبونة في ماكاو؛ مجموعة صن سيتي؛ بالإضافة إلى بوابات المقامرة عبر الإنترنت Bet365 وBwin.

لقطة شاشة لواحد من آلاف مواقع المقامرة عبر الإنترنت غير المرغوب فيها والتي تتم استضافتها على شبكة CDN الخاصة بـ FUNNULL. (الصورة: تك كرانش)

صرح كريس ألفريد، المتحدث باسم شركة Entain، الشركة الأم لـ Bwin، لـ TechCrunch أن الشركة “يمكنها تأكيد أن هذا ليس نطاقًا نمتلكه، لذا يبدو أن مالك الموقع ينتهك علامتنا التجارية Bwin، لذا سنتخذ الإجراءات اللازمة لحل المشكلة”. هذا.”

لم تستجب شركة Sands وSunCity Group وMacau Grand Lisboa وBet365 لطلبات متعددة للتعليق.

أخبر إدواردز موقع TechCrunch أنه وزملاؤه عثروا على حساب GitHub لمطور FUNNULL، والذي ناقش “تحريك الأموال”، وهو تعبير يعتقدون أنه يشير إلى غسيل الأموال. واحتوت صفحة GitHub أيضًا على روابط لقنوات تيليجرام تتضمن إشارات لعلامات القمار التجارية المنتحلة في شبكة المواقع غير المرغوب فيها، بالإضافة إلى الحديث عن نقل الأموال.

قال إدواردز: “وهذه المواقع كلها مخصصة لنقل الأموال، أو هو غرضها الأساسي”.

تتم استضافة شبكة المواقع المشبوهة، وفقًا لإدواردز وزملائه، على شبكة توصيل المحتوى الخاصة بـ FUNNULL، أو CDN، الذي يدعي موقعه على الويب أنه “صنع في الولايات المتحدة الأمريكية” ولكنه يسرد عدة عناوين مكاتب في كندا وماليزيا والفلبين وسنغافورة وسويسرا. والولايات المتحدة، والتي تبدو جميعها أماكن ليس لها عناوين مدرجة في العالم الحقيقي.

في ملفها الشخصي على HUIDU، وهو مركز لصناعة القمار، تقول FUNNULL أن لديها “أكثر من 30 مركز بيانات في القارة”، في إشارة على الأرجح إلى البر الرئيسي للصين، وأن لديها “غرفة خادم آلية عالية الأمان في الصين”.

بالنسبة لشركة تكنولوجيا ظاهرية، فإن FUNNULL تجعل من الصعب الوصول إلى ممثليها. بذلت TechCrunch جهودًا للاتصال بالشركة للحصول على تعليق وطرح أسئلة عليها حول دورها في الهجوم الواضح على سلسلة التوريد، لكنها لم تتلق أي ردود على استفساراتنا.

يدرج FUNNULL على موقعه الإلكتروني عنوان بريد إلكتروني غير موجود؛ رقم الهاتف الذي تدعي الشركة أنه موجود على واتساب، لكن لا يمكن الوصول إليه؛ نفس الرقم الذي يبدو على WeChat أنه مملوك لامرأة في تايوان دون أي انتماء إلى FUNNULL؛ حساب Skype الذي لم يستجب لطلباتنا للتعليق؛ وحساب Telegram يُعرّف نفسه باسم “Sara” فقط، ويحمل شعار FUNNULL كصورة رمزية لها.

استجابت “سارة” على Telegram لطلب التعليق – الذي أرسلته TechCrunch باللغتين الصينية والإنجليزية – والذي يحتوي على سلسلة من الأسئلة لهذا المقال قائلة: “نحن لا نفهم ما قلته”، وتوقفت عن الإجابة. تمكنت TechCrunch أيضًا من تحديد سلسلة من عناوين البريد الإلكتروني الصالحة المملوكة لـ FUNNULL، ولم يستجب أي منها لطلبات التعليق.

ادعت شركة تدعى ACB Group أنها تمتلك FUNNULL على نسخة مؤرشفة من موقعها الرسمي على الإنترنت، والذي أصبح الآن غير متصل بالإنترنت. تعذر الوصول إلى مجموعة ACB بواسطة TechCrunch.

من خلال الوصول إلى ملايين مواقع الويب، كان من الممكن أن يشن FUNNULL هجمات أكثر خطورة، مثل تثبيت برامج الفدية أو برامج المسح الضارة أو برامج التجسس، ضد زوار مواقع الويب غير المرغوب فيها. أصبحت هذه الأنواع من هجمات سلسلة التوريد ممكنة بشكل متزايد لأن الويب أصبح الآن شبكة عالمية معقدة من مواقع الويب التي غالبًا ما يتم إنشاؤها باستخدام أدوات تابعة لجهات خارجية، وتتحكم فيها أطراف ثالثة، والتي قد يتبين في بعض الأحيان أنها ضارة.

هذه المرة، كان الهدف على ما يبدو هو تحقيق الدخل من شبكة من المواقع غير المرغوب فيها. في المرة القادمة، يمكن أن يكون الأمر أسوأ بكثير.


اكتشاف المزيد من مجلة كوكان

اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى