Кровавые облака: AWS и Azure в заложниках у китайской мафии

Киберпреступники из Китая всё чаще скрывают свою деятельность, используя крупные облачные платформы США. Недавнее расследование выявило масштабную мошенническую сеть Funnull, связанную с организованными преступными группировками, которая активно использует сервисы Amazon AWS и Microsoft Azure.

В октябре 2024 года аналитики Silent Push опубликовали подробное исследование, демонстрирующее, как облачные гиганты предоставляют инфраструктуру Funnull — китайской сети доставки контента (CDN), работающей уже два года. Funnull размещает на своих серверах поддельные торговые приложения, схемы «свиней на убой» (pig butchering), сайты азартных игр и фишинговые страницы, предназначенные для кражи данных пользователей.

От атаки на Polyfill до отмывания денег

Летом 2024 года Funnull приобрела домен polyfill.io, который ранее использовался для популярной библиотеки кода с открытым исходным кодом. На момент сделки десятки тысяч легитимных сайтов по-прежнему ссылались на этот домен. После покупки Funnull организовала атаку на цепочку поставок, перенаправляя пользователей на вредоносные ресурсы.

Исследование Silent Push показало, что Funnull активно распространяет сайты азартных игр, содержащие логотип Suncity Group. Эта китайская компания была упомянута в отчёте ООН за 2024 год как участник схемы по отмыванию миллионов долларов для северокорейской хакерской группы Lazarus.

В 2023 году генеральный директор Suncity был приговорён к 18 годам тюрьмы за мошенничество, незаконный игорный бизнес и связи с организованной преступностью. Компанию обвиняли в создании подпольной банковской сети, позволявшей отмывать миллиарды долларов. Вероятно, сайты азартных игр, размещённые на Funnull, используются для аналогичных схем. Так, казино Bwin, чья символика появлялась на этих сайтах, заявило, что не имеет к ним никакого отношения.

Как Funnull помогает обходить блокировки

В материковом Китае азартные игры запрещены, за исключением Макао, специального административного района. По мнению специалистов Silent Push, Funnull может использоваться для обхода китайской системы интернет-цензуры, известной как «Великий файрвол», которая блокирует доступ к сайтам азартных игр.

Анализ инфраструктуры Funnull в январе 2025 года показал , что множество IP-адресов Amazon и Microsoft продолжают направлять трафик через сложную цепочку автоматически генерируемых доменов, в конечном итоге приводя пользователей на мошеннические или фишинговые сайты.

Отмывание инфраструктуры и лазейки в облачных сервисах

Эксперты Silent Push указывают, что Funnull является примером растущей проблемы «отмывания инфраструктуры». Киберпреступники арендуют IP-адреса у облачных провайдеров, маскируя вредоносные сайты под легитимный трафик. Эта тактика позволяет им уклоняться от блокировок и сохранять свою активность даже после удаления отдельных серверов.

Amazon и Microsoft утверждают, что принимают меры против подобных злоупотреблений. В официальном заявлении Amazon отмечается, что AWS уже отключила все известные аккаунты, связанные с Funnull, и что эта деятельность наносит ущерб самой компании, поскольку мошенники используют фальшивые методы для временного приобретения инфраструктуры, за которую в итоге не платят.

Microsoft также заявила, что активно следит за нарушениями политики использования облачных сервисов и принимает соответствующие меры при обнаружении подозрительной активности. Однако эксперты указывают, что эти меры далеко не всегда эффективны. Киберпреступники могут быстро создавать новые аккаунты и арендуемые серверы, что делает борьбу с ними сложной и непрерывной.

Кибератаки через облачные сервисы: новая реальность

По данным аналитиков NETSCOUT, ранее «шумный» вредоносный трафик — например, массовые атаки на веб-приложения, брутфорс-атаки на пароли и поиски уязвимостей — в основном исходил от ботнетов, состоящих из заражённых устройств. Однако в последнее время большая часть таких атак осуществляется через облачные провайдеры, что затрудняет их блокировку.

«С точки зрения защитников, нельзя просто заблокировать весь облачный провайдер, ведь один IP-адрес может обслуживать тысячи легитимных доменов», — поясняют специалисты.

При этом, даже если облачный сервис обнаружит злоупотребление и закроет мошеннический аккаунт, преступники могут быстро создать новый и продолжить деятельность. Иногда для этого хватает всего одного часа, после чего нанесённый ущерб уже необратим.

Прошлое Funnull и будущее регулирования облачных сервисов

Интересно, что Funnull не всегда была платформой для мошенников. До 2022 года эта сеть работала под именем Anjie CDN и базировалась на Филиппинах. Один из её сайтов, funnull[.]app, позже был поглощён компанией Fangneng CDN, ныне управляющей Funnull.

В начале 2024 года Министерство торговли США предложило новые правила, которые обяжут облачные провайдеры идентифицировать клиентов и сообщать о любых транзакциях, которые могут позволить иностранным компаниям обучать крупные модели ИИ с потенциальными возможностями для кибератак.

Эксперты отмечают, что такие меры могут помочь ограничить использование облачных сервисов в преступных целях, однако пока остаётся неясным, насколько эффективно они будут применяться на практике.