Infoblox meldt een doorbraak in onderzoek naar cybercriminaliteit met de onthulling van een groep cybercriminelen. Die kreeg de naam ‘Vigorish Viper’. Het is een Chinees georganiseerd misdaad-syndicaat. Het gebruikt geavanceerde technologie om te profiteren van de wereldwijde illegale sportgokindustrie ter waarde van $1700 miljard.
Het syndicaat heeft ook banden met witwaspraktijken en mensenhandel operaties in heel Azië. De ontdekking betekent een belangrijke mijlpaal in de strijd tegen wereldwijde cybercriminaliteit door middel van DNS-intelligentie.
Versleutelde communicatie
Vigorish Viper vertegenwoordigt volgens Infoblox een van de meest geavanceerde en belangrijke bedreigingen voor digitale veiligheid. Infoblox Threat Intel gebruikte DNS-onderzoek om de technologieën van het syndicaat te ontdekken. Vigorish Viper bouwde een complexe infrastructuur met meerdere lagen van verkeersdistributiesystemen (TDS’s). Dit met behulp van DNS CNAME records en JavaScript. Dit maakte de infrastructuur moeilijk te detecteren.
Het syndicaat vult de systemen aan met hun eigen versleutelde communicatie. En het gebruikt op maat gemaakte applicaties. Dit maakt hun activiteiten niet alleen ongrijpbaar, maar ook zeer hardnekkig.
Vigorish Viper ontleent zijn naam aan de exorbitante kosten die in de gokwereld worden opgelegd aan ongelukkige gokkers. De term ‘vigorish’, of ‘vig’, wordt door georganiseerde misdaadsyndicaten gebruikt om naar deze kosten te verwijzen. ‘Viper’ verwijst naar de complexe combinatie van TDS’s en ingewikkelde relaties tussen merken die de dreigingsactor gebruikt om gebruikers naar content te leiden.
Europose sportteams
Vigorish Viper maakt gebruik van sponsoring van populaire Europese sportteams om reclame te maken voor hun illegale goksites. Die richten zich voornamelijk op Groot-China. Daarmee worden China, Macau, Hongkong en Taiwan bedoeld.
“Dit onderzoek is belangrijk omdat het de fysieke misdaden van mensenhandel, witwassen en fraude verbindt met online criminaliteit op een manier die nog niet eerder lukte. We zien nu dat georganiseerde misdaad een slimme strategie hanteert waarbij onwetende Europese clubs ingezet worden om hun criminele netwerk te voeden,” meldt Infoblox.
Het rapport beschrijft hoe men Vigorish Viper ontdekte. Maar ook hoe het technisch in elkaar steekt. Dit naast de banden met georganiseerde misdaad en de rol die het speelt in Europese schandalen rond voetbal sponsordeals.
Yabo Groep
De beruchte Yabo Group ontwikkelde de technologie. Men brengt Yabo in verband met controverse in Europa rond het gebruik van sponsordeals bij voetbalclubs, waaronder enkele in de Engelse Premier League zoals Manchester United, om illegaal te adverteren voor ongereguleerde goksites in Azië.
De Asian Racing Federation (ARF) Council on Anti-Illegal Betting and Related Financial Crime noemt Yabo “misschien wel de grootste illegale gokoperatie gericht op Groot-China.” Het koppelt deze groep aan moderne slavernij, waarbij men slachtoffers dwingt gokdiensten te ondersteunen.
Een uitgebreid netwerk van domeinnamen
Vigorish Viper bestuurt een uitgebreid netwerk van meer dan 170.000 actieve domeinnamen en weet detectie en handhaving te ontwijken door geavanceerd gebruik van DNS CNAME verkeersdistributiesystemen.
Het is dan ook DNS-analyse dat leidde tot de ontdekking van Vigorish Viper. Dit is ook de beste methode om de infrastructuur van deze groep te monitoren. Omdat het syndicaat zich snel aanpast, is het ook het meest effectief om Vigorish Viper via DNS te stoppen.