Salah satu serangan rantai pasokan digital terbesar tahun ini diluncurkan oleh sebuah perusahaan kurang dikenal yang mengarahkan sejumlah besar pengguna internet ke jaringan situs perjudian peniru, menurut peneliti keamanan.
Awal tahun ini, sebuah perusahaan bernama FUNNULL membeli Polyfill.iodomain yang menghosting pustaka JavaScript sumber terbuka yang — jika disematkan di situs web — dapat memungkinkan browser lama menjalankan fitur yang ditemukan di browser baru. Setelah mengendalikan Polyfill.io, FUNNULL menggunakan domain tersebut untuk melakukan serangan rantai pasokan, seperti yang dilaporkan perusahaan keamanan siber Sansec pada bulan Junidi mana FUNNULL mengambil alih layanan yang sah dan menyalahgunakan aksesnya berpotensi jutaan situs web untuk mendorong malware ke pengunjung mereka.
Pada saat pengambilalihan Polyfill.io, penulis asli Polyfill memperingatkan bahwa dia tidak pernah memiliki domain Polyfill.io dan situs web yang disarankan menghapus kode Polyfill yang dihosting sepenuhnya untuk menghindari risiko. Selain itu, penyedia jaringan pengiriman konten Cloudflare dan Fastly mengeluarkan mirror Polyfill.io mereka sendiri untuk menawarkan alternatif tepercaya yang aman bagi situs web yang ingin tetap menggunakan perpustakaan Polyfill.
Tidak jelas apa sebenarnya tujuan serangan rantai pasokan ini, tetapi Willem de Groot, pendiri Sansec, menulis di X pada saat itu bahwa hal ini tampaknya merupakan upaya monetisasi yang “sangat buruk”.
Sekarang, peneliti keamanan di Silent Push mengatakan mereka memetakan jaringan ribuan situs perjudian Tiongkok dan menghubungkannya dengan FUNNULL dan serangan rantai pasokan Polyfill.io.
Menurut laporan penelitiyang telah dibagikan sebelumnya dengan TechCrunch, FUNNULL menggunakan aksesnya ke Polyfill.io untuk menyuntikkan malware dan mengarahkan ulang pengunjung situs web ke jaringan kasino dan situs perjudian online yang berbahaya itu.
“Tampaknya 'jaringan perjudian online' ini adalah sebuah kedok,” Zach Edwards, analis ancaman senior dan salah satu peneliti yang mengerjakan laporan Silent Push, mengatakan kepada TechCrunch. Edwards menambahkan bahwa FUNNULL “mengoperasikan apa yang tampaknya menjadi salah satu jaringan perjudian online terbesar di internet.”
Peneliti Silent Push mengatakan dalam laporan mereka bahwa mereka mampu mengidentifikasi sekitar 40.000 situs web yang sebagian besar berbahasa Mandarin yang dihosting oleh FUNNULL, semuanya dengan tampilan serupa dan kemungkinan besar dibuat secara otomatis yang terdiri dari huruf dan angka acak yang tersebar. Situs-situs ini tampaknya meniru merek perjudian dan kasino online, termasuk Sands, konglomerat kasino yang memiliki Venetian Macau; Grand Lisboa di Makau; Grup SunCity; serta portal perjudian online Bet365 dan Bwin.
Chris Alfred, juru bicara Entain, perusahaan induk Bwin, mengatakan kepada TechCrunch bahwa perusahaan “dapat mengonfirmasi bahwa ini bukan domain yang kami miliki sehingga tampaknya pemilik situs melanggar merek Bwin kami sehingga kami akan mengambil tindakan untuk menyelesaikannya. ini.”
Sands, SunCity Group, Macau Grand Lisboa, dan Bet365 tidak menanggapi beberapa permintaan komentar.
Edwards mengatakan kepada TechCrunch bahwa dia dan rekan-rekannya menemukan akun GitHub pengembang FUNNULL, yang membahas “pemindahan uang,” sebuah ekspresi yang mereka yakini mengacu pada pencucian uang. Halaman GitHub juga berisi tautan ke saluran Telegram yang menyertakan penyebutan merek perjudian yang menyamar dalam jaringan situs spam, serta pembicaraan tentang pemindahan uang.
“Dan semua situs tersebut bertujuan untuk memindahkan uang, atau merupakan tujuan utama mereka,” kata Edwards.
Jaringan situs yang mencurigakan, menurut Edwards dan rekan-rekannya, dihosting di Jaringan pengiriman konten FUNNULLatau CDN, yang situs webnya klaim menjadi “Made in USA” tetapi daftar beberapa alamat kantor di Kanada, Malaysia, Filipina, Singapura, Swiss, dan Amerika Serikat, yang semuanya tampak seperti tempat yang tidak memiliki alamat terdaftar di dunia nyata.
Di profilnya di HUIDU, pusat industri perjudian, FUNNULL mengatakan perusahaan ini memiliki “lebih dari 30 pusat data di benua ini,” kemungkinan besar mengacu pada Tiongkok daratan, dan bahwa perusahaan tersebut memiliki “ruang server otomatis dengan keamanan tinggi di Tiongkok.”
Untuk sebuah perusahaan teknologi yang nyata, FUNNULL membuat perwakilannya sulit dijangkau. TechCrunch berusaha menghubungi perusahaan tersebut untuk meminta komentar dan mengajukan pertanyaan tentang perannya dalam serangan rantai pasokan, namun tidak menerima tanggapan atas pertanyaan kami.
Di situsnya, FUNNULL mencantumkan alamat email yang tidak ada; nomor telepon yang diklaim perusahaan ada di WhatsApp, namun tidak dapat dihubungi; nomor yang sama yang di WeChat tampaknya dimiliki oleh seorang wanita di Taiwan yang tidak berafiliasi dengan FUNNULL; akun Skype yang tidak menanggapi permintaan komentar kami; dan akun Telegram yang hanya mengidentifikasi dirinya sebagai “Sara”, dan memiliki logo FUNNULL sebagai avatarnya.
“Sara” di Telegram menanggapi permintaan komentar – yang dikirim oleh TechCrunch dalam bahasa Mandarin dan Inggris – yang berisi serangkaian pertanyaan untuk artikel ini dengan mengatakan: “Kami tidak mengerti apa yang Anda katakan,” dan berhenti menjawab. TechCrunch juga dapat mengidentifikasi serangkaian alamat email valid milik FUNNULL, tidak ada satupun yang menanggapi permintaan komentar.
Sebuah perusahaan bernama ACB Group mengaku memiliki FUNNULL versi arsip dari situs resminyayang sekarang offline. ACB Group tidak dapat dihubungi oleh TechCrunch.
Dengan akses ke jutaan situs web, FUNNULL bisa saja melancarkan serangan yang jauh lebih berbahaya, seperti memasang ransomware, penghapus malwareatau spyware, terhadap pengunjung situs web berisi spam. Serangan rantai pasokan semacam ini semakin mungkin terjadi karena web kini merupakan jaringan global situs web yang kompleks dan sering kali dibuat dengan alat pihak ketiga, dikendalikan oleh pihak ketiga yang, terkadang, dapat berubah menjadi berbahaya.
Kali ini, tujuannya tampaknya untuk memonetisasi jaringan situs berisi spam. Lain kali, keadaannya mungkin jauh lebih buruk.
