'Vigorish Viper-aanvallers maken onderdeel uit van Chinees georganiseerd misdaadsyndicaat'

Dit blijkt uit onderzoek van Infoblox, actief in cloud networking- en securitydienstverlening. “Vigorish Viper vertegenwoordigt een van de meest geavanceerde en belangrijke bedreigingen voor digitale veiligheid die we tot nu toe hebben ontdekt", zegt Dr. Renée Burton, Vice President Infoblox Threat Intel. "Infoblox Threat Intel gebruikte baanbrekend DNS-onderzoek om de technologieën van het syndicaat te ontdekken. Vigorish Viper heeft een complexe infrastructuur gecreëerd met meerdere lagen van verkeersdistributiesystemen (TDS's) met behulp van DNS CNAME records en JavaScript, wat het ongelooflijk moeilijk maakt om te detecteren. Deze systemen worden aangevuld met hun eigen versleutelde communicatie en op maat gemaakte applicaties, waardoor hun activiteiten niet alleen ongrijpbaar, maar ook zeer hardnekkig zijn."

Exorbitante kosten

Vigorish Viper ontleent zijn naam aan de exorbitante kosten die in de gokwereld worden opgelegd aan ongelukkige gokkers. De term ‘vigorish’, of ‘vig’, wordt door georganiseerde misdaadsyndicaten gebruikt om naar deze kosten te verwijzen. "Viper" verwijst naar de complexe combinatie van TDS's en ingewikkelde relaties tussen merken die de dreigingsactor gebruikt om gebruikers naar content te leiden. Vigorish Viper maakt gebruik van sponsoring van populaire Europese sportteams om reclame te maken voor hun illegale goksites, die zich voornamelijk richten op Groot-China (China, Macau, Hongkong en Taiwan).

“Dit onderzoek is belangrijk omdat het de fysieke misdaden van mensenhandel, witwassen en fraude verbindt met online criminaliteit op een manier die nog niet eerder is gelukt. We zien nu dat georganiseerde misdaad een slimme strategie hanteert waarbij onwetende Europese clubs ingezet worden om hun criminele netwerk te voeden”, aldus Burton.

Afbeelding 1: de relatie tussen Vigorish Viper, kb[.]com en bekende organisaties onder sanctie. Bron: Infoblox - “Vigorish Viper: A Venomous Bet”

Hoe gaan de aanvallers te werk?

Het onderzoeksrapport van Infoblox beschrijft hoe Vigorish Viper is ontdekt, hoe het technisch in elkaar steekt, de banden met georganiseerde misdaad en de rol die het speelt in Europese schandalen rond voetbal sponsordeals.

Enkele van de belangrijkste bevindingen:

• Geavanceerde technologie. De technologie suite van Vigorish Viper is een uitgebreide digitale supply chain. Het omvat software, DNS-configuraties, webhosting, een betalingssysteem en mobiele apps.
• Criminele connecties. De technologie is ontwikkeld door de beruchte Yabo Group (ook bekend als Yabo Sports of Yabo) voorafgaand aan de vermeende ontbinding van de groep in 2022. De Yabo Group wordt in verband gebracht met controverse in Europa rond het gebruik van sponsordeals bij voetbalclubs, waaronder enkele in de Engelse Premier League zoals Manchester United, om illegaal te adverteren voor ongereguleerde goksites in Azië. De Asian Racing Federation (ARF) Council on Anti-Illegal Betting and Related Financial Crime noemt Yabo "misschien wel de grootste illegale gokoperatie gericht op Groot-China" en koppelt deze groep aan moderne slavernij, waarbij slachtoffers worden gedwongen gokdiensten te ondersteunen.
• Een uitgebreid netwerk en geavanceerde kennis van DNS. Vigorish Viper bestuurt een uitgebreid netwerk van meer dan 170.000 actieve domeinnamen en weet detectie en handhaving te ontwijken door geavanceerd gebruik van DNS CNAME verkeersdistributiesystemen.
• Europese sportcontroverse. De Yabo Group wordt in verband gebracht met controversiële sponsordeals met Europese voetbalclubs om te adverteren voor illegale goksites in Azië, bijvoorbeeld op schermen tijdens wedstrijden of op de shirts van spelers. De populariteit van de clubs, waaronder Engelse Premier League-deelnemers als Manchester United, wordt zo misbruikt om gokkers aan te trekken.
• Verbonden dreigingen. Tientallen ogenschijnlijk niet-verwante gokmerken die adverteren via sponsordeals met bepaalde Europese sportteams maken gebruik van Vigorish Viper-technologie. Hoewel deze merken afzonderlijk lijken te opereren, functioneren ze meer als de takken van een franchise, wat nogmaals onderstreept hoe belangrijk een holistische kijk op dergelijke dreigingen is. Alleen DNS kan dit bieden.

"DNS-analyse heeft geleid tot de ontdekking van Vigorish Viper en is de beste methode om de infrastructuur van deze groep te monitoren. Omdat de groep zich snel aanpast, is het ook het meest effectief om Vigorish Viper via DNS te stoppen", voegt Burton toe.

Afbeelding 2: een overzicht van de rol van Vigorish Viper in sportweddenschappen. Bron: Infoblox - “Vigorish Viper: A Venomous Bet”

Wat de situatie nog ernstiger maakt is dat, ondanks dat gokken vrijwel geheel illegaal is in Groot-China, geschat wordt dat inwoners van die regio jaarlijks toch zo’n 850 miljard Amerikaanse dollars inzetten. Dit benadrukt hoe omvangrijk en complex de activiteiten van Vigorish Viper zijn, met alle implicaties voor wereldwijde cybercriminaliteit van dien.

“Infoblox blijft zich inzetten om bruikbare inzichten te bieden die de operaties blootleggen van dreigingsactoren die DNS gebruiken. Onze voortdurende monitoring en onthulling van dreigingsactoren benadrukt het cruciale belang van DNS in de strijd tegen geavanceerde cyberdreigingen en toont de noodzaak voor voortdurende innovatie in DNS- en securitytechnologie”, besluit Burton.

Meer details over de dreigingsactor zijn te vinden in het nieuwste onderzoeksrapport van Infoblox Threat Intel.