图片:、。
微软、亚马逊、谷歌和 正在为中国黑产团伙提供便利并从中获利。他们通过自动化服务为自己赚取了巨额利润,当有人举报他们托管恶意网站时,他们却转身声称自己对此一无所知。然后他们声称,他们无法为客户在其平台上的行为负责。
为了融入网络犯罪分子的行列,使恶意流量更难被拦截,为中国和俄罗斯网络犯罪分子提供服务的托管公司越来越多地通过美国主要云服务提供商进行运营。本周发布的一项研究针对其中一家公司——一个与中国有组织犯罪团伙有联系的庞大网络,恰如其分地命名为“”——凸显了云服务面临的持续存在的打地鼠问题。
2024 年 10 月,安全公司 Push发布了一份长篇分析,介绍了亚马逊 AWS和微软 Azure如何为 提供服务, 是一个成立两年的中国内容交付网络,托管着各种虚假交易应用程序、生猪屠宰骗局、赌博网站和零售钓鱼页面。
去年夏天, 收购了域名[.]io,并因此登上头条新闻。该域名之前是一个广泛使用的开源代码库的所在地,允许旧版浏览器处理原生不支持的高级功能。收购时,仍有数以万计的合法域名链接到 域名, 随后不久就进行了一次供应链攻击,将访问者重定向到恶意网站。
Push 的 2024 年 10 月报告发现,通过 托管的大量域名推广带有太阳城集团标志的赌博网站,太阳城集团是2024 年联合国报告(PDF)中点名的一家中国实体,因其为朝鲜拉撒路集团洗钱数百万美元。
2023 年,太阳城集团首席执行官因欺诈、非法赌博和“黑社会罪”(即与中国跨国有组织犯罪集团合作)被判处 18 年监禁。据称,太阳城集团建立了地下银行系统,为犯罪分子洗钱数十亿美元。
通过 进行宣传的赌博网站很可能滥用顶级赌场品牌,作为其洗钱计划的一部分。在报道 Push 的 10 月报告时,获得了Bwin 的评论,Bwin 是通过 大量宣传的赌场之一,Bwin 表示这些网站不属于他们。
在中国,赌博是非法的,但中国澳门除外。 Push 研究人员表示, 可能正在帮助中国在线赌徒避开共产党的“防火墙”,该防火墙阻止人们访问赌博网站。
Push 的Zach 表示,本月再次访问 的基础设施时,他们发现数十个相同的亚马逊和微软云互联网地址仍然通过令人眼花缭乱的自动生成域名链转发 流量,然后再重定向恶意或网络钓鱼网站。
爱德华兹表示, 是 Push 所称的“基础设施洗钱”趋势的一个典型例子,出售网络犯罪服务的犯罪分子会通过美国云提供商转发部分或全部恶意流量。
“对于位于西方的全球托管公司来说,至关重要的是要意识到,位于中国的极低质量和可疑的网络托管公司故意从多家公司租用 IP 空间,然后将这些 IP 映射到他们的犯罪客户网站上,” 告诉 。“我们需要这些主要托管公司制定内部政策,这样,如果他们将 IP 空间出租给一个实体,该实体又将其出租来托管众多犯罪网站,那么所有这些 IP 都应该被收回,购买这些 IP 的 CDN 应该被禁止将来租用或购买 IP。”
博彩网站通过 推广。该网站提供 /USDT 存款程序提示。
记者联系到亚马逊寻求评论,亚马逊向记者推荐了 Push 在今天发布的一份报告中的一份声明。亚马逊表示,AWS 已经知道 Push 跟踪的 地址,并且已经暂停了与该活动相关的所有已知账户。
亚马逊表示,与 Push 报告中的暗示相反,它有充分的理由积极监管其网络以防范此类活动,并指出与 关联的账户“使用欺诈手段临时获取基础设施,但从未支付任何费用。因此,AWS 因这种滥用行为而蒙受损失。”
亚马逊的声明继续说道:“当 AWS 的自动或手动系统检测到潜在滥用行为,或者当我们收到潜在滥用行为的报告时,我们会迅速采取行动进行调查并采取行动阻止任何被禁止的活动。”“如果有人怀疑 AWS 资源被用于滥用活动,我们鼓励他们使用报告滥用表格向 AWS Trust & 报告。在这种情况下,报告的作者从未通过我们易于找到的安全和滥用报告渠道通知 AWS 他们的研究结果。相反,AWS 首先从一名记者那里了解到他们的研究,研究人员向他提供了一份草稿。”
微软同样表示严肃对待此类滥用行为,并鼓励其他人举报其网络上发现的可疑活动。
微软在一份书面声明中表示:“我们致力于保护客户免受此类活动的侵害,并在发现违规行为时积极执行可接受的使用政策。我们鼓励向微软报告可疑活动,以便我们进行调查并采取适当行动。”
是的威胁情报主管。 表示,过去“嘈杂”且经常造成破坏的恶意流量(例如自动应用层攻击和破解密码或查找网站漏洞的“暴力”攻击)主要来自僵尸网络或大量被黑客入侵的设备。
但他表示,用于传输此类流量的绝大多数基础设施现在都是通过主要云提供商代理的,这使得组织难以在网络层面进行阻止。
表示:“从防御者的角度来看,你不能大规模阻止云提供商,因为单个 IP 可以托管数千或数万个域名。”
2024 年 5 月, 发表了一篇关于 Stark 的深入研究,该公司是一家在俄罗斯入侵乌克兰之初就已出现的 ISP,并被用作全球代理网络,以掩盖针对俄罗斯敌人的网络攻击和虚假信息活动的真正来源。专家表示,穿越 Stark 网络的大部分恶意流量(例如漏洞扫描和密码暴力攻击)都是通过美国的云提供商反弹的。
Stark 的网络一直是俄罗斯黑客组织(16)的最爱,该组织经常对莫斯科以外的各种目标发动大规模分布式拒绝服务 (DDoS) 攻击。 表示, 的历史表明他们擅长轮换新的云提供商账户,将反滥用工作变成了一场打地鼠游戏。
“云提供商是否及时关闭服务器几乎无关紧要,因为坏人会立即启动一个新的服务器,”他说。“即使他们只能使用一个小时,他们也已经造成了损害。这是一个非常棘手的问题。”
爱德华兹表示,亚马逊拒绝透露被封禁的 用户是否使用被盗账户或被盗的支付卡数据进行操作,还是其他什么原因。
“我很惊讶他们想要说‘我们已经捕获了 1200 多次,并已将其删除!’但却没有说明这些 IP 都映射到了 [同一个] 中国 CDN,”他说。“我们只是感谢亚马逊证实了账户骡子被用于此,而不是某种幕后关系。我们还没有从微软那里听到同样的事情,但很可能正在发生同样的事情。”
并非一直都是诈骗网站的万无一失的托管网络。2022 年之前,该网络被称为Anjie CDN,总部位于菲律宾。Anjie 的资产之一是一个名为[.]app 的网站。加载该域名会显示一条由 Anjie CDN 原所有者弹出的消息,该所有者表示,他们的业务已被一家名为 CDN和ACB Group( 的母公司)的实体接管。
这是来自安杰 CDN(一家中国内容分发网络,现为 )前所有者的机器翻译消息。
“我出事后,公司由我家人管理,”该消息解释道。“由于我家人孤立无援,才被恶人劝说出售公司。最近,多家公司联系我家人并威胁他们,认为方能CDN通过客户域名使用渗透和镜像技术窃取会员信息和财务交易,并通过租用和出售服务器窃取客户程序。此事与我和我家人无关。请联系方能CDN解决。”
2024 年 1 月,美国商务部发布了一项拟议规则,要求云提供商创建一个“客户识别计划”,其中包括收集足够数据的程序,以确定每个潜在客户是外国人还是美国人。
据 & LLP律师事务所称,商务部的规定还要求“基础设施即服务”(IaaS)提供商报告与外国人进行的任何交易情况,这些交易可能使外国实体能够训练大型人工智能模型,而这些模型具有可用于恶意网络活动的潜在能力。
克罗威尔写道: “拟议的规则制定引起了全球关注,因为其跨境数据收集要求在云计算领域是前所未有的。”“如果美国单独实施这些要求,人们担心美国 IaaS 提供商可能会面临竞争劣势,因为美国的盟友尚未宣布类似的外国客户识别要求。”
目前尚不清楚新白宫政府是否会推进这些要求。商务部的这一行动是特朗普总统在 2021 年 1 月离任前一天发布的一项行政命令的一部分。
END
加入IP合伙人(站长加盟) | 全面包装你的品牌,搭建一个全自动交付的网赚资源独立站 | 晴天实测8个月运营已稳定月入3W+
限时特惠:本站每日持续更新海量内部创业教程,一年会员只需98元,全站资源免费无限制下载点击查看会员权益
站长微信: qtw123cn
