Table of Contents
Análise do Ataque à Cadena de Suprimentos Digital Envolvendo a FUNNULL
Um dos maiores ataques à cadeia de suprimentos digitais do ano foi perpetrado por uma empresa pouco conhecida, que redirecionou um grande número de usuários da Internet para uma rede de sites de jogos de azar fraudulentos, segundo pesquisadores de segurança.
O Caso Polyfill.io
No início deste ano, a empresa chamada FUNNULL adquiriu Polyfill.io, um domínio que hospeda uma biblioteca de JavaScript de código aberto. Essa biblioteca, se incorporada a sites, permite que navegadores desatualizados utilizem funcionalidades disponíveis em navegadores mais novos. Após assumir o controle do Polyfill.io, a FUNNULL utilizou o domínio para implementar um ataque à cadeia de suprimentos, conforme relatado pela empresa de segurança cibernética Sansec em junho, onde a FUNNULL se apoderou de um serviço legítimo e explorou seu acesso a potencialmente milhões de sites para disseminar malware entre os visitantes.
Respostas da Comunidade de Desenvolvimento
No momento da invasão do Polyfill.io, o autor original da biblioteca alertou que nunca teve posse do domínio Polyfill.io e sugeriu que os sites removesse completamente o código Polyfill hospedado para evitar riscos. Além disso, provedores de rede de entrega de conteúdo, como Cloudflare e Fastly, lançaram seus próprios espelhos do Polyfill.io para oferecer uma alternativa segura aos sites que desejavam continuar usando a biblioteca Polyfill.
“Parece provável que essa ‘rede de jogos online’ seja uma fachada”, afirmou Zach Edwards, analista sênior de ameaças e um dos pesquisadores que trabalhou no relatório da Silent Push, em declaração ao TechCrunch.
O Mapa da Rede Maliciosa
Atualmente, pesquisadores de segurança da Silent Push afirmam ter mapeado uma rede de milhares de sites de jogos de azar chineses e conectados à FUNNULL e ao ataque à cadeia de suprimentos do Polyfill.io. De acordo com o relatório dos pesquisadores, que foi compartilhado com o TechCrunch, a FUNNULL usou seu acesso ao Polyfill.io para injetar malware e redirecionar visitantes de sites para essa rede maliciosa de sites de cassino e jogos online.
A pesquisa identificou cerca de 40.000 sites, em sua maioria de língua chinesa, hospedados pela FUNNULL, todos com domínios que aparentam ser gerados automaticamente, compostos por combinações aleatórias de letras e números. Esses sites impersonificavam marcas de cassino e jogos online, incluindo Sands, um conglomerado que possui o Venetian Macau, o Grand Lisboa em Macau e o SunCity Group; assim como os portais de jogos online Bet365 e Bwin.
Implicações e Consequências Legais
Chris Alfred, um porta-voz da Entain, a empresa-mãe da Bwin, declarou ao TechCrunch que a empresa “pode confirmar que este não é um domínio que possuímos, então, parece que o proprietário do site está infringindo nossa marca Bwin, e tomaremos medidas para resolver isso.” No entanto, Sands, SunCity Group, Macau Grand Lisboa e Bet365 não responderam a diversas solicitações de comentário.
Outras Revelações e Possíveis Consequências
Edwards informou que ele e seus colegas encontraram uma conta de desenvolvedor da FUNNULL no GitHub, onde se discutia “movimentação de dinheiro”, uma expressão que eles acreditam referir-se à lavagem de dinheiro. A página do GitHub também continha links para canais do Telegram que mencionam as marcas de jogos falsificadas na rede de sites fraudulentos.
“E esses sites têm como principal propósito movimentar dinheiro”, disse Edwards.
A rede suspeita de sites, de acordo com Edwards e seus colegas, está hospedada na rede de entrega de conteúdo da FUNNULL, cuja página declara ser “Feita nos EUA”, mas inclui vários endereços de escritórios no Canadá, Malásia, Filipinas, Singapura, Suíça e Estados Unidos, que parecem não ter endereços listados no mundo real.
Conclusão: Riscos e Desafios Futuramente
Dada a sua capacidade de acessar milhões de sites, a FUNNULL poderia ter lançado ataques muito mais perigosos, como a instalação de ransomware, wiper malware, ou spyware, contra os visitantes dos sites fraudulentos. Esse tipo de ataque à cadeia de suprimentos está se tornando cada vez mais possível devido à complexidade da web moderna, que é uma rede global de sites muitas vezes construídos com ferramentas de terceiros, controladas por entidades que, às vezes, podem ser maliciosas.
Na ocasião, o objetivo parecia ser monetizar uma rede de sites fraudulentos. No entanto, no futuro, os resultados podem ser muito mais graves.
#SegurançaCibernética #AtaqueDigital #Malware #CadeiaDeSuprimentos #FUNNULL #Polyfill #JogosFraudulentos #VigilânciaDigital #AmeaçasOnline