Vigorish Viper: een Chinees cybercrimesyndicaat ontdekt door Infoblox

Infoblox heeft een belangrijke doorbraak geboekt in onderzoek naar cybercriminaliteit met de onthulling van een groep cybercriminelen, die de naam “Vigorish Viper” heeft gekregen. Dit is een Chinees georganiseerd misdaadsyndicaat dat gebruikmaakt van geavanceerde technologie om te profiteren van de wereldwijde illegale sportgokindustrie ter waarde van $1.700 miljard. Het syndicaat heeft ook banden met witwaspraktijken en mensenhandel operaties in heel Azië. Deze ontdekking van Infoblox betekent een belangrijke mijlpaal in de voortdurende strijd tegen wereldwijde cybercriminaliteit door middel van DNS-intelligentie.

DNS-onderzoek

“Vigorish Viper vertegenwoordigt een van de meest geavanceerde en belangrijke bedreigingen voor digitale veiligheid die we tot nu toe hebben ontdekt”, aldus Dr. Renée Burton, Vice President Infoblox Threat Intel. “Infoblox Threat Intel gebruikte baanbrekend DNS-onderzoek om de technologieën van het syndicaat te ontdekken. Vigorish Viper heeft een complexe infrastructuur gecreëerd met meerdere lagen van verkeersdistributiesystemen (TDS’s) met behulp van DNS CNAME records en JavaScript, wat het ongelooflijk moeilijk maakt om te detecteren. Deze systemen worden aangevuld met hun eigen versleutelde communicatie en op maat gemaakte applicaties, waardoor hun activiteiten niet alleen ongrijpbaar, maar ook zeer hardnekkig zijn.”

Vigorish Viper

Vigorish Viper ontleent zijn naam aan de exorbitante kosten die in de gokwereld worden opgelegd aan ongelukkige gokkers. De term ‘vigorish’, of ‘vig’, wordt door georganiseerde misdaadsyndicaten gebruikt om naar deze kosten te verwijzen. “Viper” verwijst naar de complexe combinatie van TDS’s en ingewikkelde relaties tussen merken die de dreigingsactor gebruikt om gebruikers naar content te leiden. Vigorish Viper maakt gebruik van sponsoring van populaire Europese sportteams om reclame te maken voor hun illegale goksites, die zich voornamelijk richten op Groot-China (China, Macau, Hongkong en Taiwan).

“Dit onderzoek is belangrijk omdat het de fysieke misdaden van mensenhandel, witwassen en fraude verbindt met online criminaliteit op een manier die nog niet eerder is gelukt. We zien nu dat georganiseerde misdaad een slimme strategie hanteert waarbij onwetende Europese clubs ingezet worden om hun criminele netwerk te voeden”, aldus Burton.

In het onderzoeksrapport van Infoblox is te lezen hoe Vigorish Viper is ontdekt, hoe het technisch in elkaar steekt, wat de banden zijn met georganiseerde misdaad en de rol die het speelt in Europese schandalen rond voetbal sponsordeals. Enkele van de belangrijkste bevindingen:

• Geavanceerde technologie. De technologie suite van Vigorish Viper is een uitgebreide digitale supply chain. Het omvat software, DNS-configuraties, webhosting, een betalingssysteem en mobiele apps.
• Criminele connecties. De technologie is ontwikkeld door de beruchte Yabo Group (ook bekend als Yabo Sports of Yabo) voorafgaand aan de vermeende ontbinding van de groep in 2022. De Yabo Group wordt in verband gebracht met controverse in Europa rond het gebruik van sponsordeals bij voetbalclubs, waaronder enkele in de Engelse Premier League zoals Manchester United, om illegaal te adverteren voor ongereguleerde goksites in Azië. De Asian Racing Federation (ARF) Council on Anti-Illegal Betting and Related Financial Crime noemt Yabo “misschien wel de grootste illegale gokoperatie gericht op Groot-China” en koppelt deze groep aan moderne slavernij, waarbij slachtoffers worden gedwongen gokdiensten te ondersteunen.
• Een uitgebreid netwerk en geavanceerde kennis van DNS. Vigorish Viper bestuurt een uitgebreid netwerk van meer dan 170.000 actieve domeinnamen en weet detectie en handhaving te ontwijken door geavanceerd gebruik van DNS CNAME verkeersdistributiesystemen.
• Europese sportcontroverse. De Yabo Group wordt in verband gebracht met controversiële sponsordeals met Europese voetbalclubs om te adverteren voor illegale goksites in Azië, bijvoorbeeld op schermen tijdens wedstrijden of op de shirts van spelers. De populariteit van de clubs, waaronder Engelse Premier League-deelnemers als Manchester United, wordt zo misbruikt om gokkers aan te trekken.
• Verbonden dreigingen. Tientallen ogenschijnlijk niet-verwante gokmerken die adverteren via sponsordeals met bepaalde Europese sportteams maken gebruik van Vigorish Viper-technologie. Hoewel deze merken afzonderlijk lijken te opereren, functioneren ze meer als de takken van een franchise, wat nogmaals onderstreept hoe belangrijk een holistische kijk op dergelijke dreigingen is. Alleen DNS kan dit bieden.

“DNS-analyse heeft geleid tot de ontdekking van Vigorish Viper en is de beste methode om de infrastructuur van deze groep te monitoren. Omdat de groep zich snel aanpast, is het ook het meest effectief om Vigorish Viper via DNS te stoppen“, voegt Burton toe.

Wat de situatie nog ernstiger maakt is dat, ondanks dat gokken vrijwel geheel illegaal is in Groot-China, geschat wordt dat inwoners van die regio jaarlijks toch zo’n 850 miljard Amerikaanse dollars inzetten. Dit benadrukt hoe omvangrijk en complex de activiteiten van Vigorish Viper zijn, met alle implicaties voor wereldwijde cybercriminaliteit van dien.

“Infoblox blijft zich inzetten om bruikbare inzichten te bieden die de operaties blootleggen van dreigingsactoren die DNS gebruiken. Onze voortdurende monitoring en onthulling van dreigingsactoren benadrukt het cruciale belang van DNS in de strijd tegen geavanceerde cyberdreigingen en toont de noodzaak voor voortdurende innovatie in DNS- en securitytechnologie”, zo besluit Burton.