图片源于:https://www.darkreading.com/threat-intelligence/chinese-forced-labor-ring-sponsors-football-clubs-hides-behind-stealth-tech
一个大型中国犯罪集团正在通过一套隐蔽的技术和与顶级欧洲足球俱乐部的壳公司建立关系,隐藏其非法博彩平台。
一些人认为,Yabo(即Yabo Sports,Yabo Group)及其许多子品牌构成了针对大中华区的“最大非法博彩操作”。
你可能之前没听过它,但如果你偶尔观看欧洲足球(在美国的说法是足球),你可能在不知不觉中经常见到它。
这一运营依靠其与世界上最大俱乐部的数百万美元合作伙伴关系得以开展,例如曼彻斯特联队和拜仁慕尼黑。
在公众面前不太明显的是Yabo的现代奴隶,他们被迫为支撑其博彩帝国的债务驱动金字塔骗局工作。
这一切得益于一整套深奥多样的技术,旨在使其运营对那些不符合其预期受众的个人隐形,目标是未来的受害者。
在一份重要的新报告中,Infoblox将设计、开发和维护这一烟幕的模糊实体命名为“Vigorish Viper”。
“通常,作为一个文化和行业,我们将技术故事与现实生活分开,”Infoblox的威胁情报负责人Renée Burton博士说。
“但这些是人类犯罪的重大案例,包括人口贩卖和洗钱。这是我参与过的最有趣的研究。”
体育中的黑钱
世界足球在其最高级别的机构中有着腐败的历史。许多最高级别联赛的最高俱乐部由争议政府拥有,并赢得了主办世界杯的投标。
博彩广告无处不在,以至于被禁止使用此类平台的球员在比赛时仍然不得不在球衣上宣传这些广告。
例如,英超明星前锋伊万·托尼因违反英格兰足协的博彩规定而被禁赛八个月,但仍然在为一家博彩公司做广告。
2019年,世界第二大足球俱乐部曼彻斯特联队与Yabo Sports签署了价值高达300万英镑(约360万美元)每年的赞助协议。
虽然当时这家博彩公司才成立一年,几乎没有社交媒体存在,但它还与即将获得世界杯冠军的阿根廷国家足球队签约,并且与莱斯特城、拜仁慕尼黑、柏林赫塔、摩纳哥、南美解放者杯、意甲联赛和随后与AC米兰签约。
在纸面上,Yabo Sports于2022年因媒体审查关闭。
但实际上,它通过其他品牌如Kaiyun Sports继续存在,Kaiyun的标志在最近几个赛季中在阿斯顿维拉和水晶宫的球衣袖口显著亮相,并且在诺丁汉森林队的球衣前面也有展示。
Kaiyun据报道也与世界上最大俱乐部皇家马德里达成了合作。
还有许多其他公司无法明确与Yabo或Kaiyun关联,但它们与Vigorish Viper技术共享,并据Infoblox所说,像单一特许经营的分支运作,例如是Fun88,沙特阿拉伯拥有的纽卡斯尔联队的球衣赞助商。
正如Burton所描述的,“本质上,他们在全球多个地方使用大量壳公司。
然后,他们通过这些白标供应商进入英国,比如与[博彩组织] Suncity有关的TGP Europe,Suncity已被中国政府控告洗钱。
因此,它们掩盖了本已模糊的那些[团体]。
这真是一系列虚假身份的荒谬链条。”
Yabo及其子公司以及Vigorish Viper的其他相关品牌的合作关系赋予它们合法性的外衣,吸引来自中国和东南亚的粉丝前往其网站。
Yabo如何将赌徒变成奴隶
“这吸引人们进入这些网站,”Burton解释道,“他们浏览了一段时间,你会看到曼彻斯特联的标志。
然后,它开始弹出邀请你去赌博的诱惑。”
这些网站上包括穿着暴露的女性的图像和与所谓消费者服务代理的实时聊天。
如果用户长时间保持静止,网站可能会提供财务激励,比如每周存入高达70,000美元时提供高达1,500美元的优惠。
“它进一步吸引你,最终你开始输钱。
现在你已经陷入债务,你进入了奴役状态。
这实质上是一个金字塔骗局:你必须去招募其他人进行赌博,然后你从这些人的损失中获得一部分来抵消你的债务,”她说。
网络博彩可能不是Yabo招募员工的唯一方式。
2023年,亚洲赛车联合会(ARF)反非法博彩及相关金融犯罪委员会的报告描述了Yabo博彩网站也由身体囚禁的个人所工作人员:
这些被围起来的综合体有公寓、办公室、超市和其他设施,并由武装保安守卫,工作是将人们锁在里面,根据中国国家媒体和其他地方的报道。
根据受害者的证词,工作人员每天必须工作12小时,每周工作6天,未经赎金不得离开。
工作人员在运营商之间被买卖,赎金在每次转手时增加。
2021年在线上显示的人们被身体威胁,用棍棒殴打,被电击。
报告指出,负责Yabo博彩的被强迫劳作的工人同样被迫推广“压猪”和加密诈骗。
Vigorish Viper的隐秘套件
Yabo如何确保,在这一切中,网站不吸引到错误类型的访客?
即那些不在东南亚的人、不赌博或者更糟糕的是在执法部门工作的人?
这就是Vigorish Viper的作用。
Viper维持多个基于DNS和HTTP的CNAME组织的流量分配系统(TDS)。
这些TDS由至少170,000个不断演变的域名组成,包括一些钓鱼域,但大多数是在使用域名生成算法(DGA)生成的。
像一系列不断变化的门——或者说是一个镜子大厅——这些TDS执行两个主要功能。
首先,就像Yabo的多个壳公司和品牌的网络一样,这些反复变化的域名使安全专业人士难以识别底层基础设施的真实性质。
这是Vigorish Viper使用的许多反分析技术之一,此外它还广泛应用控制流和代码混淆、加密以及不同寻常和多样化的TCP访问端口,并阻碍右键点击或选择文本的功能。
这些TDS同样充当筛选器,广泛分析访问者并根据需要进行重定向。
这个过程涉及收集有关访问者的设备和浏览器的数据。
它集成了地理围栏,确保Yabo博彩网站仅能从如中国、香港和澳门等目标地区访问。
实际上,它甚至可以根据IP地址在中国内部检测这些地址是移动的、居民的还是商业性质的地址。
它还可以检测使用虚拟专用网络(VPN)。
即使是那些通过检测的用户也并不完全安全。
Vigorish Viper 网站都受到Web应用防火墙(WAF)的保护,并会监视用户活动以确定其是否看起来是自动化的,若果是,则会触发验证码,或在必要时断开服务器。
突破这一层隐蔽技术的障碍,特别是其背后的犯罪集团,将需要网络专家、监管机构和国际执法部门的合作,尤其是在英国和中国。
“这些流量绝对100%是通过大防火墙来回交流的,而他们并没有屏蔽它,”Burton感叹道。
她补充道,从体育的角度来看,“犯罪组织利用这些足球俱乐部进行犯罪的聪明方式真是疯狂。
这实在是太疯狂了。
我们需要解决为什么体育团队会与你们这些人达成这些交易。
应该有监管措施来禁止这些行为。”
