Infoblox dévoile Vigorish Viper

juillet 2024 par Infoblox Inc

Renée Burton, vice-présidente d’Infoblox Threat Intel a déclaré : « Vigorish Viper représente l’une des menaces les plus sophistiquées et les plus importantes pour la sécurité numérique que nous ayons découvertes à ce jour. » Elle ajoute : "Infoblox Threat Intel a utilisé des recherches de pointe sur le DNS pour révéler les technologies sous-jacentes de cette organisation. Vigorish Viper a mis en place une infrastructure complexe avec plusieurs couches de systèmes de distribution du trafic (TDS) utilisant des enregistrements DNS CNAME et JavaScript, ce qui le rend extrêmement difficile à détecter. Ces systèmes chiffrent leurs communications et utilisent des applications sur mesure, rendant leurs activités non seulement difficiles à détecter, mais aussi remarquablement résistantes. »

Le nom Vigorish Viper provient des intérêts exorbitants imposés aux parieurs malchanceux dans le monde du jeu. Le terme "vigorish", ou "vig" en abrégé, est utilisé par les organisations du crime organisé pour désigner ces frais. "Viper" fait référence à la combinaison complexe de systèmes de distribution du trafic (TDS) et de relations de marque sophistiquées que cet acteur utilise pour diriger les utilisateurs vers son contenu. Vigorish Viper utilise le sponsoring des équipes sportives européennes populaires pour promouvoir ses sites de jeux d’argent illégaux, ciblant principalement la Chine.

Renée Burton a ajouté : « Notre travail est crucial car il établit un lien inédit entre des crimes physiques tels que le trafic d’êtres humains, le blanchiment d’argent et la fraude, ainsi que la criminalité en ligne. Nous voyons maintenant que le crime organisé utilise une stratégie ingénieuse, impliquant à leur insu des clubs européens pour alimenter son cycle criminel. »

Le rapport de recherche d’Infoblox présente en détail la découverte de Vigorish Viper, son fonctionnement technique, ses liens avec le crime organisé et son implication dans les scandales de sponsoring du football européen. Voici les principales conclusions :

• Un produit sophistiqué : La suite de produits offerte par Vigorish Viper permet aux criminels de gérer toute leur chaîne d’approvisionnement, et inclut des logiciels, des configurations DNS, l’hébergement de sites web, des systèmes de paiement et des applications mobiles.

• Liens avec la criminalité : Développée par le tristement célèbre groupe Yabo (également connu sous le nom de Yabo Sports) avant sa dissolution déclarée en 2022, cette technologie est au cœur d’une controverse en Europe. Yabo a été accusé d’utiliser le sponsoring de certains clubs de football, dont plusieurs de la Premier League anglaise tel que Manchester United, pour promouvoir illégalement des sites de jeux d’argent non réglementés en Asie. Le Conseil de la Fédération asiatique des courses (ARF) sur la lutte contre les paris illégaux et la criminalité financière a identifié Yabo comme « probablement la plus grande opération de jeu illégale ciblant la Chine » et l’a directement lié à des pratiques d’esclavage moderne, où les victimes sont contraintes de soutenir des services de jeu.

• Opérations insaisissables et expertises en matière de DNS : Vigorish Viper exploite un vaste réseau de plus de 170 000 noms de domaine actifs, échappant ainsi à la détection et à l’application de la loi grâce à l’utilisation sophistiquée des systèmes de distribution du trafic DNS CNAME.

• Controverse sur le sponsoring européen : Ce réseau est impliqué dans un système de sponsoring de clubs de football européens, utilisant par exemple des écrans d’affichage pendant les matchs ou des maillots des joueurs pour promouvoir des sites de jeux illégaux en Asie du Sud-Est. Il profite de la popularité des clubs pour attirer les parieurs.

• Menaces interconnectées : Des dizaines de marques de jeux d’argent apparemment indépendantes les unes des autres, font de la publicité par le biais d’accords de sponsoring avec certaines équipes sportives européennes en utilisant la technologie Vigorish Viper. Bien que ces marques semblent distinctes, elles fonctionnent davantage comme les branches d’une franchise, ce qui souligne l’importance d’une vision globale de ces menaces, une perspective unique que les renseignements DNS peuvent offrir.

« L’analyse DNS a permis de découvrir Vigorish Viper et représente le moyen le plus efficace pour suivre son infrastructure. L’arrêt de Vigorish Viper est également plus efficace via le DNS car cet acteur change constamment », a ajouté M. Burton.

Bien que les jeux d’argent soient presque totalement illégaux en Chine, on estime que les citoyens de la région parient près de 850 milliards de dollars par an. Ce chiffre impressionnant met en lumière l’ampleur et la complexité des opérations de Vigorish Viper, avec des répercussions importantes pour la cybercriminalité mondiale.

Des informations détaillées sur cet acteur malveillant sont disponibles dans le dernier rapport de recherche d’Infoblox Threat Intel, accessible ici.

« Infoblox s’engage à fournir des informations exploitables pour démasquer les acteurs malveillants qui utilisent le DNS pour leurs opérations », a souligné M. Burton. « Notre suivi continu et l’exposition au grand jour des acteurs malveillants montrent le rôle crucial que joue le DNS dans la lutte contre les cyber menaces sophistiquées, et soulignent la nécessité pour l’industrie de continuer à innover dans les technologies DNS et la cybersécurité. »

