This is the Trace Id: 499e0c6d8bdcc0508ede940d8f626d1e

Julge tegevus pettuse vastu: Storm-1152 häirimine

Jaga
Erinevate ikoonidega värviliste ringide kogum.

Ülevaade

2023. aasta märtsis koges üks suur Microsofti klient mitmeid rämpsposti küberrünnakuid, mis põhjustasid kliendi süsteemis katkestusi.

Mis oli põhjus? Pettuse teel loodud Microsoft Outlooki ja Hotmaili kontode kogum, mille eesmärk oli saada kasu potentsiaalsetele kasutajatele prooviversioonidena pakutavatest kliendi teenustest, kuigi neil võltskontodel ei olnud kavatsust nende teenuste eest kunagi maksta. Selle tulemusena blokeeris klient kõik uued Microsoft Outlooki ja Hotmaili aadresside kontoregistreeringud.

Tegelikult oli selle rünnaku taga suurem Vietnamist tegutsev pettusettevõte – grupp, keda Microsoft kutsub nimega Storm-1152.

Storm-1152 käitas ebaseaduslikke veebisaite ja sotsiaalmeedialehti ning müüs tuntud tehnoloogiaplatvormidel identiteedi tõendamise tarkvarast mööda hiilimiseks võltsitud Microsofti kontosid ja tööriistu. Storm-1152 teenused toimivad küberkuritegevuse väravana ning hoiavad kurjategijate jaoks kokku nii aega kui ka vaeva, mis neil muidu veebis kuritegude toimepanekuks või tülitavaks tegevuseks kuluks. Kokku lõi see grupp müügiks ligikaudu 750 miljonit võltsitud Microsofti kontot, mis tõid rühmitusele miljoneid dollareid ebaseaduslikku tulu ning läksid teistele ettevõtetele kuritegevusega võitlemisel maksma sellest veel palju rohkem.

Ilmnes, et Storm-1152 kontosid kasutasid lunavara, andmevarguse ja väljapressimisega tegelemiseks mitmed teisedki grupid, sealhulgas​ Octo Tempest, Storm-0252, Storm-0455 ja teised. Nende kontomüügiäri muutis nad üheks suurimaks küberkuritegevuse kui teenuse pakkujaks internetis.

Microsoft oli märganud selle pahatahtliku tegevuse sagenemist alates 2022. aastast ning suurendas masinõppe algoritmide kasutamist, et vältida ja tuvastada nende petturlike kontode loomiseks kasutatud mustreid. Kuid 2023. aasta kevad tähistas pöördepunkti Microsofti ja partnerplatvormide sageneva kuritarvitamise tõttu. Vaja oli agressiivsemat tegutsemist ning seepärast moodustati Microsofti ja meie partneri Arkose Labsi töötajatest toimiv mitmefunktsiooniline töörühm.

Kohe pärast seda toimingut täheldasime registreerumisliikluse umbkaudu 60% suurust vähenemist. See vähenemismäär vastab üsna täpselt nende registreeritud kontode arvule (60% või rohkem), mida meie algoritmid või partnerid hiljem tülitavateks pidasid ja millele me seejärel Microsofti teenuste pakkumise lõpetasime. 

Koordineeritud jõupingutuste tulemusena algatas Microsofti digitaalkuritegude üksus (DCU) 2023. aasta detsembrisesimesekohtumenetluse, et arestida ja sulgeda veebisaidid, mida Storm-1152 kasutas oma teenuste müümiseks. Kohe pärastseda toimingut täheldasime registreerumisliikluse umbkaudu 60% vähenemist. See vähenemismäär vastab üsna täpselt nende registreeritud kontode arvule (60% või rohkem), mida meie algoritmid või partnerid hiljem tülitavateks pidasid ja millele me seejärel Microsofti teenuste pakkumise lõpetasime. 23. juulil esitasime teise tsiviilhagi, et häirida uut infrastruktuuri, mida grupp oli üritanud luua pärast meie detsembrikuist kohtuasja algatamist.

See esilekerkivast ohust teavitav kirjeldab kulissidetagust tegevust käib kulisside taha selle kohta, kuidas tegevus läks, ja rõhutab, kui oluline on küberohtude vastu võitlemisel valdkonnasisene koostöö. Juhtum on näide sellest, kuidas valdkonnas tegutsevad ettevõtted saavad kasutada seaduslikke kanaleid, et aidata teisi kuritegelikke rühmi eemale peletada ja tagada üksikisikute turvalisus veebis. Samuti räägitaksetoob see esile käimasolevate häirete tähtsuse ja asjaolu, et õiguskaitsevahendid jäävad küberkurjategijate vastu tõhusaks meetodiks ka siis, kui kurjategijad oma taktikat muudavad. Oluline on meeles pidada, et ühtki juhtumit ei saa lihtsalt lõpetada ja unustada.

Storm-1152 avastamine ja tuvastamine

2023. aasta veebruaris täheldas Microsofti ohuanalüüsikeskuse (MSTIC) vanemturbeuurija Matthew Mesa massiandmepüügikampaaniates kasutatavate Microsoft Outlooki kontode arvu kasvamist. Mesa töö seisneb meilikampaaniate analüüsimises ja kahtlase tegevuse otsimises. Kui ta märkas jätkuvat petturlike kontode kasutamise kasvu, küsis ta endalt: „Kas kõik need kontod võivad olla omavahel seotud?”

Ta lõi kohe uue küberohustaja profiili Storm-1152 ja hakkas selle tegevust jälgima ning teavitas oma leidudest Microsofti identiteedimeeskonda. Seda pahatahtlikku tegevust oli jälginud ka Microsofti kuritarvituste ja pettuste vastase kaitse meeskonna peamine tootejuht Sinesa Cambric, kes oli märganud Microsofti tarbijateenuste registreerumisprotsessi kaitsmiseks kasutatavaid robotilõkse lahendada üritavate automatiseeritud kontode (robotite) arvu suurenemist.​

„Minu meeskond keskendub nii meie tarbijate kogemusele kui ka ettevõtete kogemusele, mis tähendab, et kaitseme iga päev miljardeid kontosid pettuste ja kuritarvituste eest,” selgitab Cambric. „Meie ülesanne on mõista küberohustaja meetodeid, et suudaksime rünnakuid tõrjuda ning takistada juurdepääsu oma süsteemidele. Mõtleme alati ennetusele – sellele, kuidas peatada halbade kavatsustega isikuid juba enne, kui nad meie süsteemi sisse pääsevad.”

Tema tähelepanu pälvis selle tegevusega seotud pettuste kasvav tase. Kui mitu osapoolt – nii Microsofti partnerid kui ka meie tarneahela osad – teatasid robotite loodud Microsofti kontode põhjustatud kahjust, hakkas Cambric tegutsema.

Koos küberturbe ja robotihalduse teenuse pakkuja Arkose Labsiga töötas Cambrici meeskond selle nimel, et tuvastada ja keelata selle grupi petturkontod, ning jagas oma tegevuse üksikasju Microsofti MSTIC ja Arkose’i küberohuteabe uurimisüksuse (ACTIR) ohuteabega tegelevate kolleegidega.

„Meie ülesanne on mõista küberohustaja meetodeid, et suudaksime rünnakuid tõrjuda ning takistada juurdepääsu oma süsteemidele. Mõtleme alati ennetusele – sellele, kuidas peatada halbade kavatsustega isikuid juba enne, kui nad meie süsteemi sisse pääsevad.” 
Shinesa Cambric 
Peamine tootejuht, väärkasutuse ja pettuste vastase võitluse meeskond, Microsoft 

„Esialgu oli meie ülesanne kaitsta Microsofti pahatahtlike kontode loomise eest,” selgitab Arkose Labsi kliendihaldur Patrice Boffa, „kuid pärast Storm-1152 grupina tegutsemise tuvastamist, hakkasime koguma ka küberohuteavet.”

Storm-1152 mõistmine

Rahaliselt motiveeritud areneva grupina paistis Storm-1152 silma ebatavaliselt hästi organiseeritud ja professionaalset muljet jätvate küberkuritegevuse teenusena (CAAS) pakutavate pakkumistega. Seaduslike ettevõtetega sarnaselt tegutsenud Storm-1152 pakkus oma ebaseaduslikku robotilõksude lahendamise teenust täiesti avalikult.

„Kui te ei teaks, et tegemist on pahatahtliku organisatsiooniga, võiksite seda pidada mõne teise tarkvara teenusena pakkuva ettevõttega sarnaseks,” 
Patrice Boffa
Peakliendihaldur, Arkose Labs

„Kui te ei teaks, et tegemist on pahatahtliku organisatsiooniga, võiksite seda pidada mõne teise tarkvara teenusena pakkuva ettevõttega sarnaseks,” räägib Boffa, lisades, et Storm-1152 loodud AnyCAPTCHA.com oli avalik koduleht, mis aktsepteeris krüptoraha makseid PayPali kaudu ning pakkus isegi kasutajatuge.

See teenus kasutas roboteid, robotilõksulubade hulgikogumiseks. Kogutud load müüdi edasi klientidele, kes seejärel kasutasid neid lubasid sobimatutel eesmärkidel (näiteks hiljem küberrünnakutes kasutatavate petturlike Microsofti kontode hulgiloomiseks) enne nende aegumist. Katsed luua petturlikke kontosid tehti nii kiiresti ja efektiivselt, et Arkose Labsi meeskond jõudis järeldusele, et grupp kasutab automatiseeritud masinõppe tehnoloogiat. 

„Kui kogesime seda kui kiiresti nad meie leevenduspüüdlustega kohanevad, saime aru, et paljud nende rünnakud on tehisintellektipõhised,” ütles Boffa. „Võrreldes teiste küberohustajatega, keda oleme näinud, kasutas Storm-1152 tehisintellekti innovaatilistel viisidel.” Arkose Labs ja Microsofti meeskonnad tuvastasid nende äritaktika muutumise suuremate tuvastus- ja ennetuspüüdlustega kohanemise eesmärgil.

Esialgu keskendus Storm-1152 kurjategijatele teenuste pakkumisele, et võimaldada neil mööda minna teiste tehnoloogiaettevõtete turvamehhanismidest, kusjuures suurimohver oli Microsoft. Storm-1152 pakkus esmalt teenuseid, mille eesmärkoli​​ kaitsemeetmetest möödahiilimine petturlike kontode loomiseks. Kui neil tekkis tunne, et neid on tuvastatud, hakkasid nad pakkuma uut teenust. Selle asemel, et pakkuda tööriistu konto loomise kaitsemehhanismidest möödahiilimiseks, kasutas kontsern oma robotite kogutud robotilõkse alistavaid lubasid, et luua petturlikke kontosid ning neid hiljem edasi müüa.

„See, mida täheldasime Storm-1152 puhul, on tüüpiline,” ütleb Boffa. Iga kord, kui mõni küberohustaja kinni püütakse, proovivad nad midagi muud. Neist ees püsimine on kassi ja hiire mäng.”

Storm-1152 vastase kohtuasja koostamine

Kui petturlik tegevus 2023. aasta märtsis haripunkti jõudis, palkasid Cambric ja Mesa Microsofti digikuritegude üksuse (DCU), et näha, mida saaks veel teha.

Microsofti välise jõustamisüksusena tegeleb DCU tavaliselt ainult kõige tõsisemate või püsivamate ohustajatega. See keskendub küberohustajate tegevuse häirimisele ja nende tegevuskulude suurendamisele. Peamised tööriistad selle eesmärgi saavutamiseks on kriminaalasjad ja/või tsiviilkohtuasjad.

Microsofti DCU küberkuritegude vastase meeskonna jõustamise meeskonna juhtivnõunik Sean Farrell, Microsofti DCU küberkuritegude jõustamise meeskonna juurdluste peadirektor Jason Lyons ja küberkuritegude vanemuurija Maurice Mason said kokku, et kaasust edasi uurida. Nad tegid koostööd Microsofti välisnõustajaga, et töötada välja õiguslik strateegia, ja kogusid kokku tsiviilhagi esitamiseks vajalikud tõendid, koondades ülevaateid erinevatelt Microsofti meeskondadelt ning Arkose Labsi kogutud ohuteavet.

„DCU kaasamise ajaks oli juba palju tööd tehtud,” meenutab Lyons. „Identiteedimeeskond ja Arkose Labs olid juba teinud märkimisväärset tööd kontode tuvastamisel ja keelamisel ning kuna MSTIC suutis petturkontod siduda teatud infrastruktuuri tasemetega, arvasime, et see on tugev DCU kohtuasi.”

Mõned tegurid, mis aitavad koostada kohtuasja, mida tasub menetleda , on näiteks tsiiviilhagi jaoks rakendatavate seaduste olemasolu, kohtualluvuse olemasolu ja ettevõtte valmisolek nimetada isikuid avalikult.

Lyons võrdles nende tegurite kaalumist triaažiprotsessiga, kus DCU uuris fakte ja teavet, et aidata neil kindlaks teha, kas materjali on hea hagi koostamiseks piisavalt. „Lähtudes sellest, mida teeme, küsime, kas tahame kulutada oma aega ja energiat selle kaasuse menetlemiseks,” ütleb ta. „Kas võimalik mõju on väärt vahendeid, mida peame panustama?” Vastus oli antud juhul „Jah“.

Masonile tehti ülesandeks tegeleda Storm-1152 küberkuritegevuse teenusena pakkumise toimingute uurimisega. „Minu roll oli jälgida, kuidas Storm-1152 müüs need petturlikud kontod teistele küberohustajate rühmadele, ja tuvastada isikud, kes on Storm-1152 taga”, selgitab Mason.

Oma uurimistööga, mis sisaldas põhjalikku ülevaadet sotsiaalmeedia lehekülgedest ja makseidentifikaatoritest, suutsid Microsoft ja Arkose Labs Storm-1152 taga olevad isikud – Duong Dinh Tu, Linh van Nguyễn (tuntud ka kui Nguyễn van Linh) ja Tai van Nguyen.

Nende uurimine näitab, et need indiviidid käitasid ebaseaduslikke veebisaite ja kirjutasid nende koodi, avaldasid üksikasjalikke videojuhendeid toodete kasutamiseks ning pakkusid vestlusteenuse kaudu abi neile, kes nende pettuseteenuseid kasutasid. Seejärel loodi täiendavaid seoseid grupi tehnilise taristuga, mille meeskond suutis siduda USA-s tegutsevate veebimajutajatega.

„Üks põhjus, miks me neid meetmeid DCU-s jätkame, on nende küberkurjategijate mõju pärssimine. Me teeme seda, esitades kohtuasju või esitades kriminaalmenetluse algatamise avaldusi, mis viivad arreteerimiste ja vastutusele võtmiseni.”
Sean Farrell 
Juhtivnõunik, küberkuritegude uurimise meeskond; Microsoft

Farrell kirjeldab otsust asjaga edasi minna, öeldes: „Siin aitas meid oluliselt meeskondade tehtud suur töö, mille käigus tuvastati taristu ja kriminaalteenused loonud küberohustajad.

Üks põhjus, miks me neid toiminguid DCU-s jätkame, on nende küberkurjategijate mõju ärahoidmine. Me teeme seda, esitades kohtuasju või algatades kriminaalmenetlusi, mis viivad arreteerimiste ja vastutusele võtmiseni. Ma arvan, et see saadab väga tugeva sõnumi, kui suudame ohustajaid identifitseerida ja neid avalikult USA-s toimuvate menetluste käigus tuvastada.”​​

Storm-1152 taassünd ja teine kohtuhagi​

Kui meeskond nägi pärast 2023. aasta detsembri katkestust kohest infrastruktuuri vähenemist, siis Storm-1152 tõi taas turule uue saidi nimega RockCAPTCHA ja uued õpetusvideod oma klientide abistamiseks. RockCAPTCHA sihtis Microsofti, pakkudes teenuseid, mis on spetsiaalselt loodud Arkose Labsi robotilõksu turvameetmete alistamiseks. Juulis tehtud toimingud võimaldasid Microsoftil selle veebilehe üle kontrolli haarata ja ohustajatele veel ühe löögi anda.

Arkose küberohuteabe uurimisüksus (ACTIR) uuris ka, kuidas Storm-1152 üritab oma teenuseid ümber ehitada. Nad jälgisid gruppi, kasutades keerukamaid taktikaid, sealhulgas suurendades oma tehisintellekti (TI) võimendust, et varjata oma tegevust ja vältida avastamist. See taastärkamine näitab ohumaastikul toimuvaid nihkeid ja AI tehnoloogiatega hästi kursis olevate ründajate täiustatud võimekust. 

Üks peamisi valdkondi, kus Storm-1152 on tehisintellekti integreerinud, on kõrvalehoidumistehnikad. Arcose Labs on näinud, kuidas rühm kasutab tehisintellekti käsitsi kirjutatud allkirjadega sarnaste allkirjade sünteetiliseks genereerimiseks.

Vikas Shetty on Arkose Labsi tootejuht ja juhib oma ohu-uuringute üksust ACTIR. „Tehisintellektil põhinevate mudelite kasutamine võimaldab ründajatel koolitada süsteeme, mis loovad neid inimkäega kirjutatud allkirjadega sarnaseid allkirju, mida saab seejärel suuremahulisteks rünnakuteks kasutada,” ütles Shetty. „Nende allkirjade keerukus ja mitmekesisus muudavad nende tuvastamise traditsiooniliste tuvastusmeetodite jaoks keeruliseks.”

Lisaks tuvastas Arkose Labs Storm-1152 katse värvata tehisintellektidega töötavaid insenere, sealhulgas magistrante, doktorante ja isegi professoreid sellistes riikides nagu Vietnam ja Hiina.

„Neile makstakse täiustatud TI mudelite arendamise eest, mis võivad keerukatest turvameetmetest mööda hiilida. Nende TI inseneride asjatundlikkus tagab, et mudelid ei ole mitte ainult tõhusad, vaid ka kohandatavad arenevate turvaprotokollidega,” ütles Shetty.

Püsivus ning küberkurjategijate tegutsemise ja uute tehnoloogiate kasutamise jälgimine on küberkuritegelike operatsioonide sisulise häirimise võtmeks.

„Me peame olema järjekindlad ja rakendama meetmeid, mis raskendavad kurjategijatel raha teenimist,” ütles Farrell. „Sellepärast esitasime teise hagi, et see uus valdkond kontrolli alla saada. Me peame saatma sõnumi, et me ei salli tegevust, mille eesmärk on kahjustada meie kliente ja teisi internetikasutajaid.”

Saadud õppetunnid ja tulevased mõjud

Mõeldes Storm-1152 tegevuse uurimise jahäirimise tulemusele, märgib Farrell, et juhtum ei ole oluline mitte ainult selle mõju tõttu meile ja teistele mõjutatud ettevõtetele, vaid ka Microsofti jõupingutuste tõttu, mis tehti nende toimingute mõju hindamiseks, mis on osaks üldisest küberkuritegevuse kui teenuse ökosüsteemist.

Tugev sõnum avalikkusele

„Asjaolu, et näitasime õiguslikke hoobasid, mida oleme väga tõhusalt pahavararünnakute ja riigi vastu suunatud rünnete vastu võitlemiseks kasutanud, on toonud kaasa ohustaja tegevuse olulise leevenemise või nõrgenemise ning nende tegevus on pärast hagi esitamist juba mõnda aega peaaegu olematu,” ütleb Farrell. „Ma arvan, et selle põhjal nägime, et tõhusad heidutusmeetmed on olemas, ja sõnum, mida avalikkus sellest saab, on oluline mitte üksnes mõju poolest. vaid ka seetõttu, et see suurendab virtuaalkogukonna üldist heaolu.”

Uued identiteediga seotud juurdepääsuvektorid

Teine oluline tähelepanek on olnud üldine nihe, mis tähendab, et kui varem sihtisid küberohustajad lõpp-punkte, siis nüüd on nende tähelepanu keskpunktis pigem identiteedid.  Enamiku lunavararünnakutega näeme, et ohuosalised kasutavad varastatud või ründe ohvriks langenud identiteete algse ründevektorina.
„See suundumus näitab, kuidas identiteet on muutumas tulevaste intsidentide esmaseks juurdepääsuvektoriks,” ütleb Mason. „Infoturbejuhid peaksid teadvustama identiteedi olulisust ning suunama oma organisatsioonide tähelepanu keskpunkti esmalt identiteetidele ja alles seejärel lõpp-punktidele.”

Pidev innovatsioon on hädavajalik

Storm-1152 ja selle tehisintellektil põhinevate strateegiate taassünd rõhutab küberohtude arenevat iseloomu. Nende asjatundlik tehisintellekti kasutamine nii meetmetest kõrvalehoidumiseks kui ka probleemide lahendamiseks kujutab endast olulisi väljakutseid traditsioonilistele julgeolekumeetmetele. Organisatsioonid peavad kohanduma, kaasates täiustatud tehisintellektil põhinevaid tuvastamise ja leevendamise tehnikad, et nendest ohtudest ees püsida.
„Storm-1152 juhtum toob esile selle, kui oluline roll on küberturvalisuse valdkonnas innovatsioonil selleks, et tõrjuda tehisintellekti kasutavate ründajate keerukaid rünnakutaktikaid,” ütleb Shetty. „Kuna need rühmad arenevad püsivalt, tuleb ka nende tegevuse vastu loodud kaitsemeetmeid edasi arendada.”

Teame, et seisame tulevikuski jätkuvalt silmitsi uute turbeprobleemidega, kuid oleme sellest tegevusest õpitu suhtes optimistlikud. Kaitsjate kogukonna liikmena teame, et koostöös saavutame ühise hüve teenimisel paremaid tulemusi ning et jätkuv avaliku ja erasektori koostöö on küberkuritegevuse tõrjumiseks endiselt hädavajalik.

Farrell ütleb: „Selle toimingu raames toimunud meeskondadevaheline koostöö, mis ühendas endas jõupingutused, mis on seotud ohuteabe, identiteedikaitse, uurimise, omistamise, õigustegevuse ja väliste partnerlussuhetega, on mudel sellest, kuidas peaksime tegutsema.”

Seotud artiklid

Küberkuritegevuse väravate sulgemine

Arkose Labsi ohuanalüüsitoele tuginedes võtab Microsoft kasutusele tehnilised ja juriidilised meetmed, et teha lõpp Microsofti peamisele võltskontode loojale ja müüjale – rühmitusele, mida kutsume koodnimega Storm-1152. Jälgime olukorda, analüüsime seda ja tegutseme klientide kaitseks.
Lisateave

Microsoft, Amazon ja rahvusvaheline õiguskaitse ühendavad jõud tehnilise toe pettustega võitlemiseks

Lugege, kuidas Microsoft ja Amazon ühendasid esimest korda jõud, et teha lõpp illegaalsete tehnilist tuge pakkuvate kõnekeskuste tegevusele Indias.
Lisateave

Pilguheit võitlusse haiglate tööd halvanud ja inimelusid ohtu seadnud häkkerite vastu

Siit leiate ülevaate Microsofti, tarkvaratootja Fortra ja Health-ISAC-i ühisoperatsioonist, mille eesmärk oli halvata kräkitud Cobalt Strike’i serverite töö ja teha tegutsemine küberkriminaalide jaoks raskemaks.
Lisateave

Jälgige Microsofti turbeteenust