Mạng lưới đánh bạc gian lận thực chất có thể ẩn chứa điều gì đó nguy hiểm hơn.

Tác giả dangkhoa 06/02/2026 17 phút đọc

Mạng lưới đánh bạc gian lận thực chất có thể ẩn chứa điều gì đó nguy hiểm hơn.

Các nhà nghiên cứu cho biết mạng lưới này, vốn đã hoạt động được 14 năm, còn ẩn chứa nhiều điều hơn thế.

Nguồn ảnh: Getty Images

Một hệ thống cơ sở hạ tầng rộng lớn đã lừa đảo những người nhẹ dạ cả tin thông qua các trang web đánh bạc gian lận trong suốt 14 năm qua rất có thể là một hoạt động kép do một nhóm được nhà nước tài trợ điều hành, nhắm mục tiêu vào các tổ chức chính phủ và tư nhân ở Mỹ và châu Âu, các nhà nghiên cứu cho biết hôm thứ Tư.

Các nhà nghiên cứu trước đây đã theo dõi những phần nhỏ hơn của cơ sở hạ tầng khổng lồ này. Tháng trước, công ty bảo mật Sucuri báo cáo rằng hoạt động này tìm kiếm và xâm nhập các trang web được cấu hình kém đang sử dụng hệ thống quản lý nội dung WordPress. Imperva vào tháng Giêng cho biết những kẻ tấn công cũng quét và khai thác các ứng dụng web được xây dựng bằng ngôn ngữ lập trình PHP có các webshell hoặc lỗ hổng hiện có. Sau khi khai thác các điểm yếu, những kẻ tấn công cài đặt GSocket, một cửa hậu mà chúng sử dụng để xâm nhập máy chủ và lưu trữ nội dung web cờ bạc trên đó.

Tất cả các trang web đánh bạc đều nhắm mục tiêu vào người dùng nói tiếng Indonesia. Vì luật pháp Indonesia cấm cờ bạc, nhiều người ở nước này bị thu hút bởi các dịch vụ bất hợp pháp. Hầu hết trong số 236.433 tên miền thuộc sở hữu của kẻ tấn công lưu trữ các trang web đánh bạc đều được đặt trên Cloudflare. Hầu hết trong số 1.481 tên miền phụ bị chiếm đoạt được lưu trữ trên Amazon Web Services, Azure và GitHub.

Không có trò lừa đảo đánh bạc "nhanh chóng" nào ở đây.

Hôm thứ Tư, các nhà nghiên cứu từ công ty an ninh Malanta cho biết những chi tiết đó chỉ là những dấu hiệu dễ thấy nhất của một mạng lưới độc hại thực sự lớn hơn và phức tạp hơn nhiều so với những gì đã biết trước đây. Công ty này cho biết, mạng lưới này không chỉ đơn thuần là một hoạt động vì mục đích tài chính, mà có khả năng phục vụ các tin tặc do nhà nước hậu thuẫn, nhắm mục tiêu vào nhiều tổ chức khác nhau, bao gồm các tổ chức trong lĩnh vực sản xuất, vận tải, chăm sóc sức khỏe, chính phủ và giáo dục.

Cơ sở cho những suy đoán này là lượng thời gian và nguồn lực khổng lồ đã được đầu tư vào việc tạo ra và duy trì cơ sở hạ tầng trong suốt 14 năm. Nguồn lực này bao gồm 328.000 tên miền riêng biệt, trong đó có 236.000 địa chỉ mà tin tặc đã mua và 90.000 địa chỉ mà chúng chiếm đoạt bằng cách xâm nhập các trang web hợp pháp. Nó cũng bao gồm gần 1.500 tên miền phụ bị chiếm đoạt từ các tổ chức hợp pháp. Malanta ước tính rằng cơ sở hạ tầng như vậy có chi phí từ 725.000 đô la đến 17 triệu đô la mỗi năm để vận hành.

Các nhà nghiên cứu cho biết, điều làm tăng thêm nghi ngờ của họ rằng chiến dịch này là một phần của APT (mối đe dọa dai dẳng nâng cao) là "kỹ thuật tinh vi" bao gồm:

Việc khai thác rộng rãi WordPress và các ứng dụng PHP
Việc chiếm đoạt quy mô lớn các tên miền phụ thuộc vào các tổ chức hợp pháp, đôi khi là các tổ chức có tầm ảnh hưởng lớn.
Hàng ngàn ứng dụng Android độc hại có tuổi thọ cao đang chạy trên cơ sở hạ tầng AWS.
38 tài khoản GitHub dùng để lưu trữ phần mềm độc hại
Sử dụng lén lút các tên miền của chính phủ để làm máy chủ proxy ngược.
Lạm dụng có hệ thống tối ưu hóa công cụ tìm kiếm

“Sự kết hợp này—tuổi thọ, quy mô, chi phí và mức độ tinh vi—vượt xa một vụ lừa đảo cờ bạc ‘nhanh chóng’ thông thường hoặc một nhóm tội phạm có động cơ tài chính,” Malanta nói. “Đó là lý do tại sao chúng tôi phân loại nó là một APT (Advanced Persistent Threat) và mô tả nó ở cấp độ nhà nước, đồng thời thận trọng không khẳng định rằng chúng tôi có bằng chứng trực tiếp liên kết nó với một thực thể chính phủ cụ thể nào.”

Việc tập trung vào tấn công các cơ quan chính phủ ở Mỹ và châu Âu cũng như nhiều ngành công nghiệp khác là một lý do khác cho việc đánh giá này. Trong nhiều trường hợp, tin tặc đã xâm phạm các tên miền hoặc tên miền phụ mà các tổ chức hợp pháp đã để hết hạn thông qua các hiện tượng như DNS "treo" và CNAME " treo ". Trong trường hợp đầu tiên, chủ sở hữu của một tên miền hoặc tên miền phụ hợp pháp cho phép bản ghi DNS của họ hết hạn. Trong trường hợp thứ hai, một tài nguyên đám mây từng ánh xạ một tên miền hoặc tên miền phụ tới một địa chỉ bí danh bên trong dịch vụ đám mây bị bỏ rơi. Trong cả hai trường hợp, tin tặc có thể chiếm quyền kiểm soát tên miền hoặc tên miền phụ bằng cách đăng ký địa chỉ IP hoặc bản ghi đám mây đã hết hạn.

Khi nắm quyền kiểm soát các địa chỉ đó, kẻ tấn công sử dụng chúng cho nhiều mục đích khác nhau. Một trong số đó là lưu trữ các trang web giả mạo các trang web phổ biến bằng cách sử dụng tên miền và đồ họa trông tương tự. Có một lợi ích khác phát sinh từ các tên miền phụ bị xâm phạm thuộc về các tổ chức nhạy cảm. Trong nhiều trường hợp, người kiểm soát tên miền phụ có thể sử dụng nó để lấy các cookie phiên được thiết lập bởi các tên miền phụ khác của cùng một tên miền chính. Việc sở hữu các thông tin đăng nhập này có thể cho phép tin tặc truy cập vào các phần khác của mạng có thể được sử dụng để bí mật chuyển tiếp lưu lượng truy cập độc hại được sử dụng cho các hoạt động tấn công mạng của nhà nước. Quyền truy cập này cũng có thể cho phép kẻ tấn công lấy được dữ liệu nhạy cảm được lưu trữ trên các máy chủ bị xâm phạm.

Các nhà nghiên cứu Malanta đã viết:

Kịch bản thứ hai (và rất đáng lo ngại) liên quan đến việc tập trung vào các tên miền của chính phủ phương Tây. Các tên miền phụ bị chiếm đoạt này được sử dụng lại để thu thập cookie phiên của tên miền chính. Ngoài ra, kẻ tấn công sử dụng máy chủ proxy ngược dựa trên NGINX để chấm dứt TLS trên các Tên miền Đủ điều kiện (FQDN) hợp lệ, sau đó chuyển tiếp lưu lượng truy cập C2 đến máy chủ phụ trợ của chúng. Điều này có nghĩa là kẻ tấn công sử dụng tên miền của chính phủ và HTTPS hợp lệ để che giấu lưu lượng truy cập đi ra ngoài. Máy chủ proxy ngược giải mã kết nối đến và sau đó bí mật chuyển tiếp các lệnh đến máy chủ C2 của kẻ tấn công.
Nói một cách đơn giản, cơ sở hạ tầng này có thể phục vụ nhiều mục đích. Ví dụ, tội phạm mạng tinh vi, vì lưu lượng truy cập trông có vẻ hợp pháp khi đến từ một tên miền của chính phủ, hoặc chuyển hướng liên lạc C2 của phần mềm độc hại thông qua những gì trông giống như cơ sở hạ tầng của chính phủ. Trong một số trường hợp chúng tôi đã phân tích, chúng tôi nhận thấy rằng tên miền phụ bị chiếm đoạt đã kế thừa và sử dụng cookie phiên của tên miền chính. Ví dụ, tên miền phụ bị chiếm đoạt của một tập đoàn toàn cầu có trụ sở tại Hoa Kỳ với doanh thu hàng năm hơn 16 tỷ USD có cùng cookie với tên miền chính.

Malanta đã xác định hơn 51.000 thông tin đăng nhập bị đánh cắp đang lưu hành trực tuyến có "liên hệ chặt chẽ" với các trang web liên quan đến cờ bạc. Các nhà nghiên cứu của công ty cho biết bằng chứng cho thấy các thông tin đăng nhập này đã bị thu thập bởi các ứng dụng Android độc hại hoặc từ các tên miền phụ bị chiếm đoạt và sau đó được bán trên các thị trường tội phạm ngầm.

Các nhà nghiên cứu tiếp tục cho rằng có khả năng hoạt động này là một liên doanh giữa các hacker có động cơ tài chính và các tác nhân làm việc nhân danh một quốc gia. Mặc dù Malanta không có bằng chứng cho thấy cơ sở hạ tầng đang được sử dụng cho hoạt động tấn công mạng của nhà nước, nhưng họ cho biết toàn bộ bằng chứng cho thấy rất có thể đó là sự thật.

“Tóm lại, chúng ta thấy một cấu trúc trong đó cờ bạc vừa là nguồn thu nhập vừa là vỏ bọc,” các nhà nghiên cứu viết. “Cùng một cơ sở hạ tầng có thể kiếm tiền từ người dùng địa phương và đồng thời cung cấp tính ẩn danh cao và các kênh liên lạc bí mật cho các hoạt động mạng nhạy cảm hơn.”