Казино, прокси и «спящие» домены. Как индонезийская игорная индустрия построила киберимперию уровня спецслужб
NewsMakerИБ-специалисты вскрыли схему, которая 14 лет оставалась невидимой для лучших мировых систем защиты.
В последние годы на киберпространстве формируется необычный пласт активности, который долгое время воспринимался как обычная теневая индустрия. Однако новые выводы малайской компании Malanta придают этой картине совершенно иной масштаб: обнаруженная структура, связанная с индонезийским игорным сегментом, по своим размерам и методам работы напоминает деятельность APT-группировок, а не рядовых мошеннических схем.
Специалисты подчёркивают, что система действует не первый год и опирается на инфраструктуру, сформированную как минимум с 2011 года. По данным Malanta, в неё включены сотни тысяч доменов и сайтов, тысячи вредоносных Android-приложений, а также сотни поддельных ресурсов, маскирующихся под известные бренды. Используются похищенные учётные данные, прокси-узлы, незаметно размещённые в сетях государственных и корпоративных структур, что создаёт условия для тихого развёртывания операций за много лет до их активной фазы.
Отмечается и проникновение в западные правительственные сегменты и облачные среды, что повышает риски для госструктур и цепочек поставок. Организаторы сочетают захват субдоменов, распространение мобильного вредоносного кода, торговлю украденными данными и масштабную автоматизацию в работе с доменными именами. Захваченные субдомены используются для кражи сессионных данных или скрытой передачи команд, а трафик маскируется под легитимные потоки.
Авторы отчёта фиксируют злоупотребление облачными платформами, перенаправление через SEO-цепочки, применение шаблонов фишинга, созданных алгоритмами генерации текста, и постоянное размещение файлов в хранилищах крупных облачных провайдеров. Анализ индикаторов предварительного этапа атаки позволил объединить разрозненные элементы в единую долгосрочную кампанию. Картина указывает на систематическое использование ошибок конфигурации и слабого контроля над доменными зонами.
Эксперты советуют ужесточать управление DNS-записями и облачными активами, исключать возможности для захвата субдоменов, применять защитные механизмы веб-уровня, настраивать строгие правила доступа в облаке, а также усиливать мониторинг сетевой активности. Подчёркивается важность перевода внимания с реагирования на раннее выявление инфраструктуры, подготовленной к атаке, чтобы лишать злоумышленников опоры ещё до начала действий.
По мнению специалистов Malanta, распространение таких подходов демонстрирует переход к стратегиям, в которых ключевую роль играет инфраструктурная подготовка. Она маскируется под обычные процессы в интернете и годами ускользает от стандартных механизмов обнаружения, что открывает дорогу долговечным и малозаметным операциям. Для противодействия требуется расширение аналитики и внедрение инструментов, позволяющих отслеживать зарождающиеся структуры до того, как они превратятся в полноценные атаки.
В последние годы на киберпространстве формируется необычный пласт активности, который долгое время воспринимался как обычная теневая индустрия. Однако новые выводы малайской компании Malanta придают этой картине совершенно иной масштаб: обнаруженная структура, связанная с индонезийским игорным сегментом, по своим размерам и методам работы напоминает деятельность APT-группировок, а не рядовых мошеннических схем.
Специалисты подчёркивают, что система действует не первый год и опирается на инфраструктуру, сформированную как минимум с 2011 года. По данным Malanta, в неё включены сотни тысяч доменов и сайтов, тысячи вредоносных Android-приложений, а также сотни поддельных ресурсов, маскирующихся под известные бренды. Используются похищенные учётные данные, прокси-узлы, незаметно размещённые в сетях государственных и корпоративных структур, что создаёт условия для тихого развёртывания операций за много лет до их активной фазы.
Отмечается и проникновение в западные правительственные сегменты и облачные среды, что повышает риски для госструктур и цепочек поставок. Организаторы сочетают захват субдоменов, распространение мобильного вредоносного кода, торговлю украденными данными и масштабную автоматизацию в работе с доменными именами. Захваченные субдомены используются для кражи сессионных данных или скрытой передачи команд, а трафик маскируется под легитимные потоки.
Авторы отчёта фиксируют злоупотребление облачными платформами, перенаправление через SEO-цепочки, применение шаблонов фишинга, созданных алгоритмами генерации текста, и постоянное размещение файлов в хранилищах крупных облачных провайдеров. Анализ индикаторов предварительного этапа атаки позволил объединить разрозненные элементы в единую долгосрочную кампанию. Картина указывает на систематическое использование ошибок конфигурации и слабого контроля над доменными зонами.
Эксперты советуют ужесточать управление DNS-записями и облачными активами, исключать возможности для захвата субдоменов, применять защитные механизмы веб-уровня, настраивать строгие правила доступа в облаке, а также усиливать мониторинг сетевой активности. Подчёркивается важность перевода внимания с реагирования на раннее выявление инфраструктуры, подготовленной к атаке, чтобы лишать злоумышленников опоры ещё до начала действий.
По мнению специалистов Malanta, распространение таких подходов демонстрирует переход к стратегиям, в которых ключевую роль играет инфраструктурная подготовка. Она маскируется под обычные процессы в интернете и годами ускользает от стандартных механизмов обнаружения, что открывает дорогу долговечным и малозаметным операциям. Для противодействия требуется расширение аналитики и внедрение инструментов, позволяющих отслеживать зарождающиеся структуры до того, как они превратятся в полноценные атаки.