هکرها از کازینو آنلاین ۱۰۰ میلیون دلار بیت کوین خواستند

کازینو آنلاین برای بسیاری از گروه های هکری، بوی پول می دهد! تصور دستیابی به حجم پول کلانی که در یک سایت شرطبندی رد و بدل می شود، وسوسه جذابی است.

گروه هکری معروف به APT27 پس از هک کردن سرورهای چند کازینو آنلاین درخواست باج ۱۰۰ میلیون دلاری از طریق پرداخت ارز مجازی بیت کوین را ارائه دادند. دو شرکت امنیت دیجیتال Profero و Security Joes گزارش کرده اند که یک سری از حملات از طریق نرم افزارهای باج افزار (Ransomware) بر علیه ۵ کازینو آنلاین صورت گرفته است.

باج افزارها نوعی از بدافزارهای مخرب هستند که با آلوده ساختن سیستم های گامپیوتری از قبیل رایانه یا تلفن همراه، دسترسی کاربر به اطلاعاتش را از بین میبرند و در ازای باز کردن دسترسی درخواست پرداخت پول میکنند. در این روش هکر از طریق ارسال ایمیل یا پیام کاربر را تشویق به کلیک روی لینک مورد نظرش میکند و بدین طریف باج افزار پنهان در لینک، به سیستم یا تلفن همراه وارد شده و باعث سوء استفاده از اطلاعات یا از بین رفتن آنها شود.

بطور معمول زمانی که سیستمی به این قبیل باج افزارها آلوده گردد قربانی راهی جز فرمت سیستم که باعث از بین رفتن اطلاعات میگردد و یا پیروی از باج گیرنده ندارد.

هک کازینو آنلاین

هک کازینو آنلاین

در سال ۲۰۲۰، گروه هکری شناخته‌شده‌ی APT27 (با نام‌های دیگر مانند Emissary Panda، Lucky Mouse، TG-3390) که سابقه‌ی فعالیت‌های جاسوسی سایبری برای دولت چین دارد، وارد حوزه‌ی جرایم مالی مستقیم شد. این گروه با استفاده از نرم‌افزارهای باج‌افزار، به زیرساخت‌های دیجیتال پنج کازینوی آنلاین حمله کرد و سرورهای اصلی آن‌ها را رمزگذاری نمود.

بر اساس گزارش این دو موسسه امنیت سایبری اسرائیلی تمامی این حملات مرتبط با یک گروه هکری به نام APT27 است که مخفف عبارت Advanced Persistent Threat 27 به معنی تهدید مداوم پیشرفته ۲۷ می باشد.

این گزارش همچنین تاکید می کند که تا پیش از این حملات گروه APT27 بیشتر بر روی کمپانی ها متمرکز بوده است ولی اکنون بنظر می رسد اهداف جدید با رویکرد بدست آوردن پول مورد نظر این تیم هکری هستند.

در این حمله هکرها پس از دسترسی به داده های کازینو آنلاین با استفاده از ابزار رمزنگاری BitLocker تمامی اطلاعات را رمزگذاری کردند و اعلام داشتند که پس از دریافت مبلغ ۱۰۰ میلیون دلار به صورت بیت کوین حاضر هستند اطلاعات قفل اطلاعات را در اختیار صاحبین سایت کازینو آنلاین قرار دهند.

مسیر نفوذ اولیه از طریق یک ارائه‌ دهنده‌ خدمات ثالث بوده که خودش قبلا آلوده شده بود، و این زنجیره‌ی آلودگی به کازینوها منتقل شده است.

در سوی مقابل کمپانی ها از پرداخت مبلغ صرفنظر کردند و البته توانستند با استفاده از نسخه های پشتیبانی که در اختیار داشتند بک آپ های اطلاعات را بازگردانند. به گفته کارشناسان حملات سایبری APT27 بسیار مشابه با عملکرد یک گروه چینی به نام Winnti است و در آن از تکنیک بدافزار DRBControl برای دسترسی به سرورها استفاده شده است.

برخی روش ها و ابزارهایی که در این حمله هکری توسط گروه APT27 مورد استفاده قرار گرفته، عبارتند از:

• Clambling backdoor: نوعی درب‌پشتی که در کمپین قبلی DRBControl نیز استفاده شده بود.
• ASPXSpy web shell: نسخه‌ی تغییر یافته‌ای از ابزار نفوذ که برای حرکت جانبی در شبکه‌ها استفاده شد.
• PlugX RAT: ابزار دسترسی از راه دور که در حملات وابسته به چین بسیار رایج است.
• Mimikatz: ابزار استخراج رمز عبور از حافظه‌ی سیستم.
• CVE-2017-0213 exploit: آسیب‌پذیری شناخته‌شده‌ای که برای ارتقای سطح دسترسی استفاده شد.

این حملات شباهت زیادی با کمپین DRBControl داشتند که پیش‌تر توسط گروه‌های APT27 و Winnti اجرا شده بود. تفاوت اصلی در این بود که در حمله‌ جدید، از نسخه‌ متفاوتی از Clambling استفاده شده بود که دیگر از Dropbox به‌ عنوان سرور فرمان‌دهی استفاده نمی‌کرد. تا پیش از این، APT27 بیشتر در زمینه‌ی جاسوسی سایبری دولتی فعال بود—هدف‌گیری شرکت‌های دفاعی، مراکز داده، و فعالان مدنی. اما این حمله نشان داد که گروه وارد فاز مالی‌محور شده و به‌جای جمع‌آوری اطلاعات، به دنبال اخاذی مستقیم از قربانیان است.

در این رابطه یک محقق دنیای امنیت سایبری به نام Amit Serper توضیح داده است که نوع حملات صورت گرفته بسیار مشابه با حملاتی است که هکرهای وابسته به حکومت خلق چین به انجام می رسانند. لازم به توضیح است که چین به تازگی مقابله با شرط بندی در کازینوهای آنلاینی که در خارج از این کشور قرار دارند را شدت بخشیده است و این می تواند بخشی از پاسخ این کشور به کازینوهایی باشد که از بازیکنان چینی میزبانی می کنند.

البته این محقق سایبری همچنین اضافه کرده است که استفاده از روش های مرسوم هکرهای چینی ممکن است برای رد گم کردن و نوعی جعل هویت انجام گرفته باشد.

تحقیقات نشان داد که این حملات شباهت زیادی به کمپین قبلی موسوم به DRBControl دارد که پیش‌تر توسط گروه‌های APT27 و Winnti اجرا شده بود. در این حملات، از بدافزارهایی مانند Clambling backdoor، ASPXSpy web shell، و PlugX RAT استفاده شده که همگی در حملات وابسته به چین سابقه دارند. این رویداد نشان‌دهنده‌ تغییر رویکرد APT27 از جاسوسی دولتی به جرایم مالی مستقیم است، به‌ویژه در حوزه‌هایی مانند سایت شرطبندی آنلاین و انواع کازینو ارز دیجیتال که به اهدافی ویژه برای گروه های هک تبدیل شده اند.

با توسعه اینترنت موضوع امنیت کازینوهای آنلاین از مباحث مهم بوده است، چندی پیش در مجله لیلاج طی خبر هکر جوانی که در روز ولنتاین یک بازی کازینو آنلاین را هک کرد به یکی دیگر از این نمونه حملات سایبری پرداخته شد.

جمع بندی

این ماجرا نه فقط یک داستان عجیب از هکرها و بیت‌کوین و کازینو است، بلکه نمونه‌ای واقعی از دنیایی‌ست که در آن پول، فناوری، و بی‌اعتمادی دست در دست هم داده‌اند. وقتی هکرها با خونسردی تمام درخواست صد میلیون دلار بیت‌ کوین می‌کنند، و قربانیان در پاسخ فقط سرشان را می‌خارند، معلوم است که چیزی در این معادله درست کار نمی‌کند.

کازینوهای آنلاین، با گردش مالی عظیم و وابستگی کامل به زیرساخت‌های دیجیتال، عملا تبدیل شده‌اند به طعمه‌ی آماده برای مهاجمان سایبری. و وقتی پای ارزهای مجازی وسط باشد، ردگیری و پیگیری هم به اندازه‌ی یک بازی اسلات شانسی می‌شود. این یعنی امنیت دیگر یک گزینه نیست، بلکه شرط ورود به کسب و کار آنلاین است. در این ارتباط بد نیست اگر نگاهی به نوشته ۳ گام مهم در تامین امنیت سایت کازینو آنلاین بیاندازید.

در جهانی که باج‌افزارها مثل ژتون‌های تقلبی در همه‌جا پخش شده‌اند، مدیران پلتفرم‌های قمار باید بدانند که رمزنگاری، پشتیبان‌گیری، و نظارت دائمی، نه هزینه‌های اضافی، بلکه سرمایه‌گذاری روی بقای خودشان است. چون اگر هکرها بتوانند با چند خط کد، کل میز بازی را جمع کنند، دیگر هیچ‌کس برای شرط‌ بندی برنمی‌گردد. و ما، به‌ عنوان تماشاگران این نمایش، شاید فقط یک چیز را باید خوب بفهمیم: