Mezclar con la nube -krebs para la seguridad

Mezclar con la nube -krebs para la seguridad

Imagen: stock de obturador, Arthead.

Las empresas que aceptan ciberdelincuentes en China y Rusia operan a través de los principales proveedores de nubes en los Estados Unidos. Esta semana, una gran red vinculada a la organización china Crime GangFunnull“-Enfatiza el problema continuo que enfrenta el servicio en la nube.

Octubre de 2024, compañía de seguridad Empuje tranquilo Publicando un Análisis largo cómo Amazon AWS y Microsoft Azure Brindamos un servicio a Funnull, una red de contenido china de dos años que aloja una variedad de aplicaciones comerciales falsas, fraude de carnicero de cerdo, sitio web de juego y página de phishing de manga.

Funnull hizo un titular después de obtener el nombre de dominio el verano pasado. Polifil[.]IOAnteriormente, es un surco de la biblioteca de código de código abierto, que se usa ampliamente para manejar funciones avanzadas que no son compatibles con los navegadores anteriores de forma predeterminada. En el momento de la adquisición, todavía había decenas de miles de dominios legítimos conectados al dominio del pólipo y pronto había funnull. Realizamos un ataque de la cadena de suministro para redirigir a los visitantes como un sitio malicioso..

El informe de octubre de 2024 de empuje silencioso encontró numerosos dominios alojados a través del sitio de juego funnull. Grupo de SuncityGrupo chino Informe de la ONU 2024 (PDF) para lavar millones de dólares para Corea del Norte (PDF) Grupo de Lázaro.

Hubo un CEO de Suncity en 2023 Fui sentenciado a 18 años de prisión. Sospecha de fraude, juego ilegal y «grupo de tres «Crimen», trabajando con el sintetizador de crimen organizacional súper nacional de China. Se estima que Suncity ha construido un sistema financiero subterráneo. Lavé miles de millones de dólares para delincuentes.

El sitio de juego que viene a través de Funnull será abusado de la mejor marca de casino como parte del plan de lavado de dinero. En el informe sobre el informe de octubre de Push Silent TechCrunch Obtenido La opinión de Bwin es uno de los casinos anunciados en Funnull y Bwin dijo que el sitio web no les pertenecía.

El juego es ilegal en China, excepto Macao, un área administrativa especial en China. Los investigadores de Silent Push dicen que Funull puede ayudar a los jugadores en línea de China a evitar el «Great Firewall» del Partido Comunista, que bloquea el acceso a los destinos de juego.

Empuje tranquilo Zach Edwards Dije que Este mes, revisaremos la infraestructura de Funnull nuevamente.Descubrieron que docenas de direcciones de Internet de Amazon y Microsoft Cloud son generadas automáticamente automáticamente por la cadena de nombres de dominio antes de la redirección de sitios web maliciosos o tontos.

Funwards dice que Funnull es un ejemplo de libro de texto de llamadas de tendencias que pueden entregar algo o todo el tráfico malicioso a través del proveedor de la nube de EE. UU.

“La compañía de alojamiento global, con sede en Occidente, dijo que un anfitrión web de muy alta calidad y sospechosa, que se basa en China, alquiló intencionalmente el espacio de IP y asigna la IP al sitio web del cliente criminal. Hablé con Krebsonsecury. “Necesitamos estos principales anfitriones para crear una política interna. Por lo tanto, si alquila un espacio de propiedad intelectual a una persona que arrienda el espacio de IP para alojar varios sitios web del crimen, todo el espacio de IP debe reproducirse y el CDN comprado debe ser prohibido en el futuro. Alquiler de IP o compra.

Sitio de juego Suncity promovido a través de Funnull. Este sitio tiene una solicitud del programa de depósito TETHER/USDT.

Para comentarios, Amazon se refirió a este reportero y mencionó una declaración incluida en el Push Silent. Informe de hoy. Amazon dijo que AWS ya conocía la dirección funnullada rastreada por Silent Push y detuvo todas las cuentas conocidas conectadas a la actividad.

Al contrario de la influencia del informe Silent Push, Amazon tiene todas las razones para presentar activamente a la policía como oficial de policía, y la cuenta funnull es: utilicé un método de fraude para hacerlo. Por lo tanto, AWS está dañado como resultado del abuso.

La declaración de Amazon dice: “La automatización o el sistema manual de AWS se investiga de inmediato para detenerse y tomar medidas para detener las actividades prohibidas al detectar posibles abusos o recibir informes de posibles abusos. “Si alguien sospecha que los recursos de AWS se usan para el abuso, Informar el formulario de abuso. En este caso, el autor en el informe no informó a AWS los resultados a través de canales fáciles de seguridad y abuso. En cambio, AWS se enteró por primera vez de su investigación de periodistas que primero redactaron investigadores.

Microsoft, del mismo modo, alentó a otros a ver las actividades sospechosas que se encuentran en la red que dicho abuso es seriamente necesario.

Microsoft dijo: “Nos esforzamos por implementar activamente políticas de uso aceptables al proteger a los clientes de este tipo de actividad y detectar violaciones. «Somos recomendados informe Puede tomar las medidas apropiadas a través de actividades sospechosas en Microsoft.

Richard Hummel Este es el plomo de inteligencia de amenazas Netscout. Hummel dijo que hay un tráfico malicioso fuerte y a menudo confuso, como jerarquías de aplicaciones automatizadas, esfuerzos «indiscriminados» para tomar medidas enérgicas en el sitio web o encontrar vulnerabilidad en el sitio web.

Pero dijo que la mayor parte de la infraestructura utilizada para introducir este tipo de tráfico puede ser proxy a través del proveedor principal de la nube, lo que dificulta que la organización bloquee a nivel de red.

Hummel dijo: “Desde el punto de vista de un defensor, una sola IP puede alojar miles o decenas de miles de dominios, por lo que no puede quién vende un proveedor de la nube.

En mayo de 2024, Krebsonsecurity anunció un profundo buceo para Stark Industries Solutions, un ISP encarnado cuando la invasión ucraniana de Ucrania comenzó en Rusia, y se utilizó como una red de representación global que ocultaba los ataques cibernéticos contra los enemigos de Rusia y ocultaba la fuente real de información. Los expertos dijeron que están rebotando a través del proveedor de nubes basado en Estados Unidos, como el tráfico vulnerable (por ejemplo, el escaneo vulnerable y el ataque de la fuerza bruta de contraseña) que cruza la red de Stark.

La red de Stark fue más favorecida por el Grupo Hackingist ruso. Noname057 (16)A menudo comenzamos un ataque a un gran servicio de distribución para varios objetivos, no a Moscú. Hummel ha podido andar en bicicleta una nueva cuenta de proveedor de la nube, según la historia de Noname, y ha hecho esfuerzos para oponerse al juego Whac-a-Mole.

«No es importante si el proveedor de la nube está en su lugar, y es porque los malos se convierten en cosas nuevas», dijo. “Incluso si solo se puede usar durante una hora, ya ha sido dañado. Es un problema realmente difícil.

Edwards dijo que Amazon no especificó si los usuarios de funnull prohibidos estaban operando utilizando cuentas dañadas o datos de tarjeta de pago robados.

«Capté más de 1,200 veces y lo rompí». Pero cada IP no se conectó. [the same] China CDN. “Hemos confirmado que Amazon se está utilizando para mulas de cuentas y notamos que no es una relación de puerta principal. No hemos escuchado lo mismo en Microsoft, pero es muy probable que esté sucediendo lo mismo.

Funnull no siempre es una red de alojamiento a prueba de balas para un sitio de fraude. La red se conoce antes de 2022 Anjie CDNCon sede en Filipinas. Uno de los atributos de Anjie es el sitio web. Funnull[.]Aplicación. Cuando carga el dominio, el propietario original de Anjie CDN muestra un mensaje pop -UP. Fangneng CDN y Grupo ACBEmpresa matriz de Funnull.

La máquina convertida de todos los propietarios de Anjie CDN, una red de entrega de contenido chino.

«La compañía fue administrada por la compañía después del problema», explica el mensaje. “Debido a que mi familia estaba aislada e indefensa, persuadí a los villanos para que vendiera la empresa. En los últimos años, muchas compañías se han puesto en contacto con nuestra familia y las amenazaron, y Fangneng CDN roba información de miembros y transacciones financieras a través de nombres de dominio de los clientes, arriende y vende servidores, y penetra y refleja la tecnología a través del nombre del dominio del cliente para robar programas de clientes. fue usado. Este problema no tiene nada que ver conmigo y mi familia. Para resolverlo, comuníquese con el Fangneng CDN.

Enero de 2024 Departamento de Comercio de los Estados Unidos publicación Reglas propuestas Para hacer esto, necesitamos crear un «programa de identificación del cliente» que incluya un procedimiento para recopilar suficientes datos para determinar si cada cliente potencial es extranjero o estadounidense.

Según una empresa legal Crowell & Moring LLPLas reglas de comercio también requieren un proveedor de «infraestructura como servicio» para informar el conocimiento de los extranjeros que pueden capacitar a un modelo de IA grande con capacidades potenciales que los extranjeros pueden usar para el apoyo cibernético malicioso. actividad.

Crowell dijo: “La decisión de las reglas propuestas atrajo la atención del mundo porque no tenía precedentes en el espacio de la computación en la nube. Yo escribí. «Existe la preocupación de que el proveedor de IaaS de EE. UU. Puede enfrentar deficiencias competitivas porque el proveedor de IaaS de EE. UU. Todavía no ha anunciado requisitos similares de identificación de clientes extranjeros siempre que Estados Unidos impone estos requisitos».

No está claro si la nueva administración de la Casa Blanca avanzará los requisitos. Como parte de la orden administrativa emitida el día antes de que el presidente Trump asumiera el cargo en enero de 2021, el comportamiento comercial era obligatorio.