Mạng lưới cờ bạc gian lận thực sự có thể là một cái gì đó bất chính hơn

Tác giả tanthanh 06/02/2026 14 phút đọc

Các nhà nghiên cứu cho biết hôm thứ Tư rằng cơ sở hạ tầng rộng lớn đã lừa đảo những người không nghi ngờ thông qua các trang web cờ bạc lừa đảo trong 14 năm có thể là một hoạt động kép được điều hành bởi một nhóm do nhà nước-quốc gia tài trợ đang nhắm mục tiêu vào các tổ chức chính phủ và ngành công nghiệp tư nhân ở Mỹ và Châu Âu.

Các nhà nghiên cứu trước đây đã theo dõi những phần nhỏ hơn của cơ sở hạ tầng khổng lồ. Tháng trước, hãng bảo mật Sucuri báo cáo rằng hoạt động tìm kiếm và xâm phạm các trang web được cấu hình kém chạy WordPress CMS. Imperva vào tháng Giêng nói rằng những kẻ tấn công cũng quét và khai thác các ứng dụng web được xây dựng bằng ngôn ngữ lập trình PHP có vỏ web hoặc lỗ hổng hiện có. Một khi các điểm yếu được khai thác, những kẻ tấn công cài đặt một GSocket, một backdoor mà những kẻ tấn công sử dụng để thỏa hiệp các máy chủ và lưu trữ nội dung web cờ bạc trên chúng.

Tất cả các trang web cờ bạc đều nhắm mục tiêu đến khách truy cập nói tiếng Indonesia. Vì luật pháp Indonesia cấm cờ bạc nên nhiều người ở quốc gia đó bị thu hút bởi các dịch vụ bất hợp pháp. Hầu hết trong số 236.433 tên miền thuộc sở hữu của kẻ tấn công lưu trữ các trang web cờ bạc đều được lưu trữ trên Cloudflare. Hầu hết trong số 1.481 tên miền phụ bị tấn công đều được lưu trữ trên Amazon Web Services, Azure và GitHub.

Không có trò lừa đảo cờ bạc “quickhit” ở đây

Hôm thứ Tư, các nhà nghiên cứu từ công ty bảo mật Malanta nói rằng những chi tiết đó chỉ là dấu hiệu dễ thấy nhất của một mạng độc hại mà Lừa thực sự lớn hơn và phức tạp hơn nhiều so với những gì đã biết trước đây. Công ty cho biết, không chỉ là một hoạt động có động cơ tài chính, mạng này còn có thể phục vụ các tin tặc quốc gia nhắm vào nhiều tổ chức, bao gồm cả các tổ chức sản xuất, vận tải, chăm sóc sức khỏe, chính phủ và giáo dục.

Cơ sở cho việc đầu cơ là lượng thời gian và nguồn lực khổng lồ dành cho việc tạo ra và duy trì cơ sở hạ tầng trong hơn 14 năm. Các tài nguyên bao gồm 328.000 tên miền riêng biệt, bao gồm 236.000 địa chỉ mà những kẻ tấn công đã mua và 90.000 địa chỉ mà chúng trưng dụng bằng cách xâm phạm các trang web hợp pháp. Nó cũng được tạo thành từ gần 1.500 tên miền phụ bị tấn công từ các tổ chức hợp pháp. Malanta ước tính rằng cơ sở hạ tầng như vậy tiêu tốn từ 725.000 USD đến 17 triệu USD mỗi năm để tài trợ.

Thêm vào sự nghi ngờ của họ rằng hoạt động này là một phần của APT (mối đe dọa dai dẳng nâng cao), các nhà nghiên cứu cho biết, là “advanced tradecraft” bao gồm:

Khai thác rộng rãi các ứng dụng WordPress và PHP
Cướp quy mô lớn các tên miền phụ thuộc các tổ chức hợp pháp, đôi khi có uy tín cao
Hàng ngàn ứng dụng Android độc hại tồn tại lâu dài chạy trên cơ sở hạ tầng AWS
38 tài khoản GitHub để lưu trữ phần mềm độc hại
Việc sử dụng lén lút các tên miền của chính phủ bị tấn công để sử dụng làm proxy ngược
Lạm dụng có hệ thống tối ưu hóa công cụ tìm kiếm

“Sự kết hợp này—tuổi thọ, quy mô, chi phí và độ phức tạp— vượt xa trò lừa đảo cờ bạc ‘quickhit’ điển hình hoặc nhóm có động cơ tài chính,” Malanta cho biết. “Đó là lý do tại sao chúng tôi phân loại nó là APT và mô tả nó ở cấp độ được nhà nước tài trợ, đồng thời cẩn thận không khẳng định rằng chúng tôi có bằng chứng trực tiếp ràng buộc nó với một thực thể chính phủ cụ thể.”

Việc tập trung vào việc làm tổn hại đến các cơ quan chính phủ ở Mỹ và Châu Âu cũng như nhiều ngành công nghiệp là một lý do khác để đánh giá. Trong nhiều trường hợp, những kẻ tấn công đã xâm phạm tên miền hoặc tên miền phụ mà các tổ chức hợp pháp đã cho phép mất hiệu lực thông qua các hiện tượng bao gồm treo DNS và treo lủng lẳng CNAME. Trước đây, chủ sở hữu tên miền hoặc tên miền phụ hợp pháp cho phép bản ghi DNS của nó hết hạn. Sau này, tài nguyên đám mây từng ánh xạ tên miền hoặc tên miền phụ tới địa chỉ bí danh bên trong dịch vụ đám mây sẽ bị loại bỏ. Trong cả hai trường hợp, kẻ tấn công có thể kiểm soát tên miền hoặc tên miền phụ bằng cách đăng ký địa chỉ IP hoặc bản ghi đám mây đã hết hạn.

Với quyền kiểm soát các địa chỉ đó, kẻ tấn công sử dụng chúng cho một loạt mục đích. Một là lưu trữ các trang web giả mạo các trang web phổ biến bằng cách sử dụng tên miền và đồ họa trông giống nhau. Có một lợi ích khác phát sinh từ các tên miền phụ bị xâm nhập thuộc về các tổ chức nhạy cảm. Trong nhiều trường hợp, ai đó có quyền kiểm soát tên miền phụ có thể sử dụng nó để lấy cookie phiên được đặt bởi các tên miền phụ khác của cùng tên miền chính. Việc sở hữu các thông tin xác thực này có thể cho phép tin tặc truy cập vào các phần khác của mạng có thể được sử dụng để bí mật chuyển tiếp lưu lượng truy cập độc hại được sử dụng cho các hoạt động hack của quốc gia. Việc truy cập cũng có thể cho phép kẻ tấn công lấy được dữ liệu nhạy cảm được lưu trữ trên các máy chủ bị xâm phạm.

Các nhà nghiên cứu Malanta đã viết:

Kịch bản thứ hai (và rất rắc rối) liên quan đến việc tập trung vào các lĩnh vực của chính phủ phương Tây. Các tên miền phụ bị tấn công này được tái sử dụng để nắm bắt cookie phiên của tên miền chính. Ngoài ra, kẻ tấn công còn chạy các proxy ngược dựa trên NGINX để chấm dứt TLS trên Tên miền đủ điều kiện hợp pháp (FQDN), sau đó chuyển lưu lượng C2 sang phần phụ trợ của chúng. Điều này có nghĩa là tác nhân đe dọa sử dụng tên miền của chính phủ và HTTPS hợp lệ để ngụy trang lưu lượng truy cập ra nước ngoài của h. Proxy ngược giải mã kết nối đến và sau đó bí mật chuyển tiếp các lệnh đến máy chủ C2 của kẻ tấn công.
Nói một cách dễ hiểu, cơ sở hạ tầng này có thể phục vụ nhiều mục đích. Ví dụ: tội phạm mạng có tính lén lút cao, vì lưu lượng truy cập có vẻ hợp pháp đến từ miền của chính phủ hoặc truyền thông phần mềm độc hại C2 qua những gì trông giống như cơ sở hạ tầng của chính phủ. Trong một số trường hợp chúng tôi đã phân tích, chúng tôi quan sát thấy rằng tên miền phụ bị tấn công kế thừa và sử dụng cookie phiên của tên miền chính. Ví dụ: tên miền phụ bị tấn công của một tập đoàn toàn cầu có trụ sở tại Hoa Kỳ với doanh thu hàng năm trên 16 tỷ USD có cùng cookie với tên miền chính.

Malanta đã xác định được hơn 51.000 thông tin xác thực bị xâm phạm lưu hành trực tuyến có “liên kết chặt chẽ” với các trang web liên quan đến cờ bạc. Các nhà nghiên cứu của công ty cho biết bằng chứng cho thấy thông tin xác thực đã bị thu thập bởi các ứng dụng Android độc hại hoặc từ các tên miền phụ bị tấn công và sau đó được bán trong các thị trường tội phạm ngầm.

Các nhà nghiên cứu tiếp tục nói rằng, có thể hoạt động này là một liên doanh giữa các tin tặc có động cơ tài chính và các diễn viên làm việc thay mặt cho một quốc gia. Mặc dù Malanta không có bằng chứng nào cho thấy cơ sở hạ tầng đang được sử dụng để hack quốc gia, nhưng nó cho biết tổng thể bằng chứng cho thấy rõ ràng rằng Lừa trường hợp.

“Tổng hợp tất cả lại với nhau, chúng tôi thấy một cấu trúc trong đó cờ bạc vừa là nguồn doanh thu vừa là vỏ bọc, các nhà nghiên cứu viết. “Cơ sở hạ tầng tương tự có thể kiếm tiền từ người dùng cục bộ, đồng thời cung cấp các kênh liên lạc bí mật và ẩn danh chất lượng cao cho các hoạt động mạng nhạy cảm hơn.”