İnternet kullanıcılarına 'mükemmel gizlilik koruması' vaadiyle sunulan Universe Browser, aslında bir zararlı yazılım gibi davrandığına dair endişe verici bulgular ortaya çıktı. Tanıtımlarında 'en hızlı tarayıcı' olduğunu iddia eden ve kullanıcıların 'gizlilik sızıntılarından kaçınmasını' sağlayacağını belirten bu tarayıcının, gerçekte kullanıcıların internet trafiğini Çin'deki sunucular üzerinden yönlendirdiği ve arka planda sessizce çalışan çeşitli programlar yüklediği tespit edildi.
Ağ güvenliği şirketi Infoblox tarafından yapılan yeni araştırmalara göre, Universe Browser'ın potansiyel olarak milyonlarca kez indirildiği ve Çin merkezli çevrimiçi kumar siteleriyle bağlantılı olduğu belirtiliyor. Tarayıcının, kullanıcıların cihazlarına gizlice yüklediği bazı özelliklerin, tuş vuruşlarını kaydetme, izinsiz bağlantılar kurma ve cihazın ağ ayarlarını değiştirme gibi zararlı yazılımları andırdığı vurgulanıyor.
Araştırmacılar, tarayıcının işleyişi ile Güneydoğu Asya'nın milyarlarca dolarlık siber suç ekosistemi arasında bağlantılar buldu. Bu ekosistem, kara para aklama, yasa dışı çevrimiçi kumar, insan kaçakçılığı ve zorla çalıştırmanın kullanıldığı dolandırıcılık operasyonlarıyla ilişkilendiriliyor. Araştırmaya göre, Universe Browser doğrudan, 'Vault Viper' olarak adlandırılan bir tehdit grubuna bağlanan ve büyük bir çevrimiçi kumar şirketi olan BBIN ile bağlantılı.
Bu tür gelişmeler, bölgedeki suç gruplarının giderek daha sofistike hale geldiğini gösteriyor. Özellikle Çin organize suç örgütlerinin, siber destekli dolandırıcılık, sahte kimlikle para toplama ve çeşitli scam operasyonlarına doğru evrildiği gözlemleniyor. Bu grupların, elde ettikleri kârları yeniden yatırarak yeni yetenekler geliştirdiği ve tehdidin giderek daha ciddi bir hal aldığı düşünülüyor.
Tarayıcının Arka Planı
Universe Browser, ilk olarak bu yılın başlarında Infoblox ve Birleşmiş Milletler Uyuşturucu ve Suç Ofisi (UNODC) tarafından Kamboçya merkezli bir çevrimiçi kumarhane operasyonunun dijital sistemlerini incelerken tespit edildi. Infoblox'un, Vault Viper'a bağlanan benzersiz bir DNS parmak izi tespit etmesi, araştırmacıların grup ile ilişkili web sitelerini ve altyapıyı izlemesini sağladı. Araştırmacılar, BBIN veya diğer yan kuruluşlarla bağlantılı on binlerce web alan adı, komuta-kontrol altyapısı ve kayıtlı şirketi inceledi. Bu incelemelerde, Universe Browser'ın çevrimiçi reklamlarının defalarca karşılarına çıktığı belirtiliyor.
Universe Browser'ın, özellikle çevrimiçi kumarın büyük ölçüde yasa dışı olduğu Asya'daki kullanıcıların kısıtlamaları aşmasına yardımcı olmak için 'özellikle' tasarlandığı düşünülüyor. Tarayıcı, genellikle kumarhane web sitelerinin alt kısımlarında, BBIN logosunun yanında doğrudan indirilmeye sunuluyor. Windows için masaüstü versiyonu ve Apple'ın App Store'unda bir uygulama sürümü bulunuyor. Google Play Store'da olmamasına rağmen, Android telefonlara doğrudan yüklenebilen APK dosyaları mevcut.
Araştırmacılar, tarayıcının Windows versiyonunu tersine mühendislikle inceledi. Elde edilen bulgular arasında, zararlı yazılımlarda görülen birçok özelliğe benzer öğeler bulunduğu ve antivirüs araçlarından kaçınmaya çalıştığı belirtiliyor. Tarayıcı başlatıldığında, kullanıcının konumu, dili ve sanal bir makinede çalışıp çalışmadığı anında kontrol ediliyor. Uygulama ayrıca, ekran görüntülerinin tarayıcıyla bağlantılı alanlara yüklenebilmesini sağlayan bir tarayıcı uzantısı da dahil olmak üzere iki uzantı yüklüyor.
Çin'de çevrimiçi kumar büyük ölçüde yasa dışı olmasına rağmen, tarayıcının yasa dışı kumar oynamaya çalışanlar tarafından kullanılması, veri güvenliğini riske atıyor. Araştırmacılara göre, kötü niyetli bir aktörün elinde bu tarayıcı, zengin oyuncuları belirlemek ve makinelerine erişim sağlamak için mükemmel bir araç haline gelebilir.
Çin'e bağlanmanın yanı sıra, tuş vuruşlarını kaydetme ve arka planda çalışan diğer programlar, Infoblox'un raporuna göre, birden fazla işlevin devre dışı bırakıldığını da gösteriyor. Örneğin sağ tık, ayar erişimi ve geliştirici araçları kaldırılmış; tarayıcı, sanal makine koruması gibi önemli güvenlik özelliklerini devre dışı bırakan çeşitli ayarlar ve eski SSL protokollerinin kaldırılmasıyla çalışıyor, bu da tipik ana akım tarayıcılara kıyasla riski önemli ölçüde artırıyor.
Bu şüpheli davranışların iOS ve Android sürümlerinde de mevcut olup olmadığı belirsizliğini koruyor. Bir Google sözcüsü, şirketin uygulamayı incelediğini ve Google Play mağazasında bulunmadığını doğruladı. Apple ise uygulama hakkındaki yorum taleplerine yanıt vermedi.
Bağlantıları Ortaya Çıkarıyor
Universe Browser etrafındaki web altyapısı, araştırmacıları 1999'dan beri var olan BBIN şirketine geri götürdü. Başlangıçta Tayvan'da kurulan şirket, şu anda Filipinler'de büyük bir üsse sahip. BBIN, kendisini Asya'da 'lider' bir iGaming (çevrimiçi oyun) yazılımı tedarikçisi olarak tanımlıyor. UNODC'nin Nisan ayındaki bir raporu, BBIN'i Universe Browser ile ilişkilendiriyor ancak şirketi resmi olarak Vault Viper olarak adlandırmıyor. Raporda, firmanın Güneydoğu Asya'da çeşitli oteller ve kumarhaneler işlettiği ve bölgedeki 'en büyük ve en başarılı' iGaming platformlarından birini sağladığı belirtiliyor.
Son yıllarda, İngiltere Premier League'deki birçok futbol kulübü, Asyalı kumar şirketleri tarafından sponsorluklar konusunda incelemelere maruz kaldı. BBIN'in, İspanya'nın Atlético de Madrid, Almanya'nın Borussia Dortmund ve Hollanda'nın AFC Ajax gibi büyük Avrupa futbol takımlarıyla sponsorluk veya ortaklıkları bulunuyor. Ancak, bu şirketlerle yapılan sponsorluk anlaşmalarının doğası ve olası riskleri tartışma konusu olmaya devam ediyor.
iGaming sektörü, web veya telefonlarda kolayca oynanabilen sanal poker veya diğer çevrimiçi casino oyunları gibi çevrimiçi kumar yazılımları geliştiriyor. Araştırmacılar, BBIN Baoying'in resmi olarak çevrimiçi casino oyunu geliştiricisi veya 'white label' online casino platformu olduğunu, yani çevrimiçi kumar teknolojisini diğer sitelere sattığını belirtiyor. Sunduğu dillerin yalnızca Korece, Japonca ve Çince olması, bu ülkelerde çevrimiçi kumarın yasak veya ciddi şekilde kısıtlanmış olması göz önüne alındığında endişe verici bir işaret olarak değerlendiriliyor.
UNODC'den yapılan açıklamalarda, Baoying ve BBIN'in derin suç bağlantılarına sahip, milyarlarca dolarlık gri alan uluslararası holdingler olduğu ve çevrimiçi kumar işletmelerine, dolandırıcılıklara ve siber suç aktörlerine hizmet sağladığı iddia ediliyor. Mahkeme belgeleri, Alvin Chau'nun Baoying'in yaklaşık üçte ikisine sahip olduğunu gösteriyor ve bu durumun, Asya tarihindeki en büyük kara para aklayıcılarından biri olduğu düşünülen Chau ile doğrudan bağlantısını güçlendiriyor. Ayrıca, emniyet teşkilatı ortaklarının Bambu Birliği, Dört Deniz ve Tian Dao gibi Triad gruplarıyla doğrudan bağlantılar belgelediği de belirtiliyor.
BBIN, yapılan birden fazla yorum talebine yanıt vermedi. Şirketin web sitesinde listelenen ana iletişim e-posta adresi geri döndü, diğer e-posta adreslerine ve çevrimiçi iletişim formlarına gönderilen sorular ile LinkedIn'deki iki çalışanla yapılan iletişim denemeleri yayın zamanına kadar yanıtlanmadı.
Son on yılda, Güneydoğu Asya'da çevrimiçi suçlar, büyük ölçüde yasa dışı çevrimiçi kumar ve Myanmar, Laos ve Kamboçya'da kurulan bir dizi dolandırıcılık tesisinden kaynaklanan ciddi bir artış gösterdi. 60'tan fazla ülkeden yüz binlerce insan, bu tesislerde gece gündüz çalışarak insanları kandırıp dünya genelinden milyarlarca dolar çalmalarına neden olan bir dolandırıcılık ağı kurdu.
Bölgedeki dolandırıcılık parkları ve tesislerinin genellikle hem çevrimiçi kumar hem de çevrimiçi dolandırıcılık operasyonlarına ev sahipliği yaptığı ve insanları çevrimiçi kumar hesapları açmaya ikna etme yöntemlerinin, 'pig butchering' (domuz kesimi) olarak bilinen dolandırıcılıklarla paralellik gösterdiği belirtiliyor.
Geçtiğimiz hafta, ABD kolluk kuvvetleri, gerçek gayrimenkul alanında faaliyet gösteren ancak iddia edildiği gibi 'gizli' dolandırıcılık tesisleri yürüten devasa bir Kamboçya organizasyonundan rekor kıran 15 milyar dolarlık Bitcoin'e el koydu. ABD yetkililerinin bir dizi dolandırıcılık tesisi işlettiği iddiasıyla suçladığı Jin Bei Group da dahil olmak üzere yaptırım uygulanan kuruluşlardan bazılarının BBIN teknolojisiyle bağlantılı olduğu görülüyor. Telegram'da birden fazla grubun ve casino web sitesinin, BBIN'in Jinbei casinolarındaki birden fazla kuruluşla ortaklık kurduğunu gösterdiği belirtiliyor.
Son yıllarda, Çin ve Tayvan dahil olmak üzere birçok ülkeden gelen hükümet basın bültenleri ve haber raporları, BBIN teknolojisinin yasa dışı kumar operasyonlarında nasıl kullanıldığına ve siber suçla olan bağlantısına dair iddialarda bulunmuştur. Bu raporlar, BBIN'in teknolojisinin, Kamboçya ve Kuzey Myanmar'daki yasa dışı, insan kaçakçılığıyla yürütülen sektörün bir parçası olarak veya yasa dışı kumar ve dolandırıcılık tesislerinde faaliyet gösteren kişiler tarafından agresif bir şekilde çeşitli yasa dışı Çin odaklı kumar sitelerini tanıtan yüzlerce Telegram gönderisiyle bağlantılı olduğunu göstermektedir.
Universe Browser'ın en çok Çince kumar web sitelerine erişenler tarafından indirildiği düşünülse de, araştırmacılar bu tarayıcının geliştirilmesinin, yasa dışı çevrimiçi kumar operasyonlarının ne kadar önemli ve kârlı olduğunu ve bunların dünya çapında faaliyet gösteren dolandırıcılık çabalarıyla olan bağlantılarını ortaya koyduğunu belirtiyor. Infoblox'un raporu, bu operasyonlar ölçek ve çeşitlilik açısından büyüdükçe, artan teknik uzmanlık, profesyonelleşme, operasyonel dayanıklılık ve çok sınırlı inceleme ve denetim altında işlev görme yetenekleriyle işaretlendiğini vurgulayarak son buluyor.
