This is the Trace Id: 1df1568ebf18cb7cdf977ea52dec948d

Acțiune îndrăzneață împotriva fraudei: Perturbarea activității Storm-1152

Distribuire
O serie de cercuri colorate cu diverse pictograme.

Prezentare generală

În martie 2023, un client Microsoft important a fost victima unei serii de atacuri cibernetice cu spam, ceea ce a dus la întreruperi în sistemul clientului.

Cauza? Un val de conturi Microsoft Outlook și Hotmail create în mod fraudulos, încercând să profite de avantajele serviciilor oferite clienților ca versiuni de încercare pentru potențialii utilizatori, chiar dacă aceste conturi false nu intenționau să plătească vreodată pentru aceste servicii. Drept urmare, clientul a blocat toate înscrierile de conturi noi de la adrese Microsoft Outlook și Hotmail.

Ce se afla, de fapt, în spatele acestui atac era o întreprindere frauduloasă mai mare din Vietnam, un grup pe care Microsoft îl numește Storm-1152.

Storm-1152 administra site-uri web și pagini de socializare ilicite, vânzând conturi Microsoft frauduloase și instrumente pentru a ocoli software-ul de verificare a identității de pe platforme tehnologice bine cunoscute. Serviciile Storm-1152 se comportă ca o poartă de acces pentru infracțiunile cibernetice, reducând timpul și efortul de care au nevoie infractorii pentru a desfășura o multitudine de comportamente infracționale și abuzive online. În total, grupul a creat aproximativ 750 de milioane de conturi Microsoft frauduloase în vederea vânzării, ceea ce i-a adus venituri ilicite de milioane de dolari și a costat companiile încă mai mult de-atât pentru a-i combate activitatea infracțională.

Se pare că mai multe grupuri foloseau conturi Storm-1152 în activități de ransomware, furt de date și extorcare, inclusiv​ Octo Tempest, Storm-0252, Storm-0455 și altele. Afacerea sa de vânzare a conturilor l-a transformat într-unul dintre cei mai mari furnizori online de infracțiuni cibernetice ca serviciu.

Microsoft a urmărit evoluția acestei activități rău intenționate începând din 2022, crescând utilizarea algoritmilor de învățare programată pentru a preveni și a detecta modelele observate pentru crearea acestor conturi frauduloase. Cu toate acestea, primăvara anului 2023 a marcat un punct de inflexiune din cauza abuzului crescând asupra Microsoft și a platformelor partenere. A fost necesară o acțiune mai agresivă și s-a format o echipă interdisciplinară cu membri de la Microsoft și de la partenerul nostru Arkose Labs.

Imediat după această acțiune, am observat o scădere cu aproximativ 60% a traficului de înscriere. Această scădere se potrivește îndeaproape cu cele 60% sau mai mult dintre înscrieri pe care algoritmii sau partenerii noștri le-au identificat ulterior ca fiind abuzive și cărora le-au fost apoi suspendate serviciile Microsoft. 

Rezultatul efortului coordonat a fost acela că Unitatea pentru infracțiuni digitale (DCU) a Microsoft a întreprins prima acțiune în justiție în decembrie 2023, pentru a confisca și a închide site-urile pe care Storm-1152 le utiliza pentru a-și vinde serviciile. Imediat după această acțiune, am observat o scădere cu aproximativ 60% a traficului de înscriere. Această scădere se potrivește îndeaproape cu cele 60% sau mai mult dintre înscrieri pe care algoritmii sau partenerii noștri le-au identificat ulterior ca fiind abuzive și cărora le-au fost apoi suspendate serviciile Microsoft. Pe 23 iulie, am deschis un al doilea proces civil pentru a perturba infrastructura pe care grupul a încercat să o configureze ca urmare a procesului nostru din decembrie.

Acest raport de amenințare emergentă oferă detalii din culise despre modul în care s-a realizat acțiunea și evidențiază importanța colaborării din sectorul de activitate pentru vânarea amenințărilor cibernetice. Acest caz este un exemplu pentru modul în care sectorul de activitate poate utiliza canalele legale pentru a descuraja alte grupuri și a păstra persoanele în siguranță online. De asemenea, ilustrează importanța perturbărilor continue și faptul că acțiunile în instanță rămân o metodă eficientă împotriva infractorilor cibernetici, chiar și atunci când își schimbă tacticile. În final, nicio operațiune nu este pe deplin încheiată.

Descoperirea și identificarea Storm-1152

În februarie 2023, Matthew Mesa, cercetător senior în domeniul securității în Centrul de investigare a amenințărilor Microsoft (MSTIC), a observat un tipar crescând de conturi Microsoft Outlook utilizate în campanii de phishing în masă. Din funcția sa, Mesa analizează campaniile prin e-mail și caută activitatea suspectă. Văzând o creștere continuă a utilizării conturilor frauduloase, s-a întrebat dacă nu cumva este posibil ca toate aceste conturi să aibă legătură între ele.

A creat imediat un nou profil de actor de amenințare, Storm-1152, și a început să-i urmărească activitatea, semnalând descoperirile echipei Microsoft pentru identitate. Shinesa Cambric, director de produs principal al echipei Microsoft de apărare împotriva abuzului și a fraudei, a urmărit și ea această activitate rău intenționată și a observat o creștere a conturilor automatizate (boți) care încercau să treacă verificările HIP utilizate pentru a proteja procesul de înscriere la serviciile Microsoft pentru consumatori.​

„Echipa mea se concentrează atât pe experiența consumatorilor, cât și pe cea a întreprinderilor, ceea ce înseamnă că protejăm miliarde de conturi în fiecare zi împotriva fraudei și a abuzului”, a explicat Cambric. „Rolul nostru este de a înțelege metodologiile actorilor de amenințare, pentru a putea evita atacurile și a le împiedica accesul în sistemele noastre. Întotdeauna ne gândim la prevenție, la cum putem opri actorii rău intenționați înainte să ne treacă pragul.”

Ce i-a atras atenția a fost nivelul crescând de fraudă asociat activității. Atunci când mai multe părți (parteneri Microsoft, dar și părți ale lanțului nostru de aprovizionare) ne-au contactat pentru a raporta prejudiciul cauzat de aceste conturi Microsoft create de boți, Cambric a acționat.

Împreună cu furnizorul de gestionare a boților și de apărare a securității cibernetice Arkose Labs, echipa lui Cambric a lucrat la identificarea și dezactivarea conturilor frauduloase ale grupului și a împărtășit detaliile muncii lor cu colegii axați pe investigarea amenințărilor din echipa Microsoft MSTIC și Unitatea de cercetare privind investigarea amenințărilor cibernetice Arkose (ACTIR).

„Rolul nostru este de a înțelege metodologiile actorilor de amenințare, pentru a putea evita atacurile și a le împiedica accesul în sistemele noastre. Întotdeauna ne gândim la prevenție, la cum putem opri actorii rău intenționați înainte să ne treacă pragul.” 
Shinesa Cambric 
Director de produs principal al echipei de apărare împotriva abuzului și a fraudei, Microsoft 

„Inițial, rolul nostru a fost să protejăm Microsoft de crearea conturilor rău intenționate”, explică Patrice Boffa, CCO Arkose Labs, „dar după ce identificat Storm-1152 a fost identificat ca grup, am început și noi să colectăm o grămadă de informații pentru investigarea amenințărilor.”

Să înțelegem Storm-1152

Ca grup motivat financiar în curs de dezvoltare, Storm-1152 a ieșit în evidență prin faptul că era neobișnuit de bine organizat și profesionist în ofertele sale de infracțiune cibernetică ca serviciu (CaaS). Funcționând ca firmă legitimă, Storm-1152 își desfășura serviciul ilegal de validare a verificărilor HIP la lumina zilei.

„Dacă nu știai că aceasta este o organizație rău intenționată, ai fi putut-o compara cu orice altă companie SaaS”, 
Patrice Boffa
CCO, Arkose Labs

„Dacă nu știai că aceasta este o organizație rău intenționată, ai fi putut-o compara cu orice altă companie SaaS”, spune Boffa, adăugând că AnyCAPTCHA.com al Storm-1152 avea un site orientat către public, accepta plăți în criptomonede prin PayPal și, mai mult, oferea și un canal de asistență.

Acest serviciu folosea boți pentru a recolta în bloc tokenuri de verificare HIP, care erau apoi vândute clienților, care le foloseau în scopuri necorespunzătoare (cum ar fi crearea în bloc de conturi Microsoft frauduloase pentru utilizare ulterioară în atacuri cibernetice) înainte să expire. Încercările de configurare a conturilor frauduloase se derulau atât de rapid și de eficient, încât echipa Arkose Labs a ajuns la concluzia că grupul folosea tehnologie automatizată cu învățare programată. 

„Când am realizat ritmul adaptării lor la eforturile noastre de atenuare, ne-am dat seama că multe dintre atacuri aveau la bază inteligență artificială”, a spus Boffa. „În comparație cu alți adversari pe care i-am văzut, Storm-1152 utiliza inteligența artificială în moduri inovatoare.” Echipele Arkose Labs și Microsoft au putut observa schimbarea tacticilor de business ca modalitate de adaptare la eforturile crescute de detectare și prevenție.

Inițial, Storm-1152 se concentra pe oferirea de servicii infractorilor pentru a trece de liniile de apărare de securitate pentru alte companii de tehnologie, ​Microsoft​ fiind cea mai mare dintre victime. Storm-e1152 a oferit servicii pentru a ocoli​​ apărarea în vederea creării de conturi frauduloase, după care a oferit un serviciu nou, după ce a depistat detectarea. În loc să furnizeze instrumente pentru ocolirea liniilor de apărare pentru crearea conturilor, grupul a trecut la utilizarea tokenurilor de verificare HIP recoltate de boții săi pentru a crea conturi Microsoft frauduloase pentru revânzare.

„Ce am observat legat de Storm-1152 este ceva tipic”, spune Boffa. Ori de câte ori prinzi un actor de amenințare, acesta încearcă apoi să facă altceva. Să rămânem cu un pas în fața lor este un joc de-a șoarecele și pisica.”

Instrumentarea unui caz juridic împotriva Storm-1152

Atunci când activitatea frauduloasă a atins un punct culminant în martie 2023, Cambric și Mesa au apelat la Unitatea pentru infracțiuni digitale (DCU) a Microsoft pentru a vedea ce s-ar putea face mai mult.

În calitatea sa de braț extern al Microsoft pentru aplicarea legii, DCU urmărește de obicei doar actorii cei mai persistenți sau cu adevărat serioși. Această unitate se concentrează pe perturbare, crescând costurile de operare, iar instrumentele principale sunt plângerile penale și/sau procesele civile.

Sean Farrell, consilier principal în echipa de combatere infracțiunilor cibernetice din DCU Microsoft, Jason Lyons, director principal de investigații în echipa de combatere infracțiunilor cibernetice DCU la Microsoft și anchetatorul cibernetic senior Maurice Mason s-au reunit pentru a investiga amănunțit. S-au coordonat cu consultanța externă Microsoft pentru a schița o strategie juridică și au strâns dovezile necesare pentru intentarea unui proces civil, trăgând concluzii de la mai multe echipe Microsoft și din informațiile de investigare a amenințărilor colectate de Arkose Labs.

„În momentul în care a început să se implice DCU, o mare parte a lucrului era deja făcută”, își amintește Lyons. „Echipa de identitate și Arkose Labs deja lucraseră semnificativ la identificarea și dezactivarea conturilor și, pentru că MSTIC a putut conecta conturile frauduloase la anumite niveluri de infrastructură, am considerat că ar putea constitui bazele unui caz juridic DCU solid.”

Printre factorii care contribuie la asamblarea unui dosar ce merită încercat în instanță se numără existența unor legi care pot fi folosite într-un proces civil, jurisdicția și acceptul firmei de a numi în mod public persoanele.

Lyons a asemănat analizarea acestor factori cu un proces de triaj, în care DCU a examinat faptele și informațiile pentru a decide dacă există un caz solid sau nu. „Ținând cont de ceea ce facem, ne întrebăm dacă vrem să ne folosim timpul și energia pentru a acționa”, spune el. „Impactul avut va merita resursele pe care le-am investit?” În acest caz, răspunsul a fost „da”.

Responsabilitatea lui Mason a fost aceea de a lucra la atribuirea activităților de infracțiune cibernetică ca serviciu ale Storm-1152. „Rolul meu a fost să urmăresc cum vinde Storm-1152 aceste conturi frauduloase altor grupuri de actori de amenințare și să identific persoanele din spatele Storm-1152”, explică Mason.

Prin munca lor de investigare, ce a inclus o examinare amănunțită a paginilor de pe rețelele de socializare și a identificatorilor de plăți, Microsoft și Arkose Labs au putut identifica persoanele din spatele Storm-1152 – Duong Dinh Tu, Linh Van Nguyễn (cunoscut și ca Nguyễn Van Linh) și Tai Van Nguyen.

Au descoperit că aceste persoane au exploatat și scris codul pentru site-urile web ilicite, au publicat instrucțiuni detaliate, pas cu pas, privind modul de utilizare a produselor lor prin intermediul unor tutoriale video și au oferit servicii de chat pentru a-i ajuta pe cei care le utilizau serviciile frauduloase. Apoi, s-au stabilit conexiuni suplimentare la infrastructura tehnică a grupului, pe care echipa a reușit s-o identifice ca fiind gazde din Statele Unite.

„Unul dintre motivele pentru care urmărim aceste acțiuni în DCU este descurajarea acestui tip de infractori cibernetici. Facem asta intentând procese sau făcând plângeri penale care duc la arestări și puneri sub acuzare.”
Sean Farrell 
Consilier principal, Echipa de combatere infracțiunilor cibernetice; Microsoft

Când descrie decizia de a merge mai departe cu acest caz, Farrell spune: „Aici avem noroc cu munca grozavă depusă de echipele care au identificat actorii ce au configurat infrastructura și serviciile infracționale.

Unul dintre motivele pentru care urmărim aceste acțiuni în DCU este descurajarea acestui tip de infractori cibernetici. Facem asta intentând procese sau făcând plângeri penale care duc la arestări și puneri sub acuzare. Consider că se trimite un mesaj foarte puternic atunci când putem identifica actorii și îi putem numi public în pledoarii juridice în Statele Unite.”​​

Storm-1152 reapare și o a doua acțiune în justiție​

Deși echipa a observat o reducere imediată a infrastructurii după perturbarea din decembrie 2023, Storm-1152 a reapărut, lansând un nou site numit RockCAPTCHA și noi videoclipuri explicative prin care să-și ajute clienții. RockCAPTCHA a vizat Microsoft, oferind servicii proiectate anume pentru a încerca să păcălească măsurile de securitate prin verificare HIP ale Arkose Labs. Acțiunea din iulie a permis ca Microsoft să preia controlul asupra acestui site și să dea încă o lovitură actorilor.

Unitatea de cercetare privind investigarea amenințărilor cibernetice Arkose (ACTIR) a aruncat o privire mai atentă și asupra modului în care Storm-1152 a încercat să-și reinstaureze serviciile. Aceasta a observat că grupul folosea tactici mai sofisticate, inclusiv valorificând mai mult inteligența artificială, pentru a-și masca activitatea și a evita detectarea. Această renaștere este un indicator al schimbărilor care au loc în peisajul amenințărilor cibernetice și demonstrează capacitățile avansate ale atacatorilor versați în tehnologii cu inteligență artificială. 

Una dintre zonele principale în care Storm-1152 a integrat inteligența artificială o reprezintă tehnicile de evitare. Arkose Labs a văzut cum folosește grupul inteligența artificială pentru a genera în mod artificial semnături care par umane.

Vikas Shetty este director de produs la Arkose Labs și conduce unitatea de cercetare a amenințărilor, ACTIR. „Utilizarea modelelor de inteligență artificială permite ca atacatorii să instruiască sisteme ce emit aceste semnături aproape umane, care pot fi apoi folosite la scară largă pentru atacuri”, a spus Shetty. „Având în vedere complexitatea și diversitatea acestor semnături, metodelor de detectare tradiționale le este dificil să țină pasul.”

De asemenea, Arkose Labs a observat că Storm-1152 încerca să recruteze și să angajeze ingineri în inteligență artificială, inclusiv studenți la master, aplicanți la doctorate, ba chiar și profesori universitari, în țări ca Vietnam și China.

„Aceste persoane sunt plătite să dezvolte modele avansate de inteligență artificială care pot ocoli măsuri de securitate sofisticate. Competențele acestor ingineri în inteligență artificială asigură faptul că modelele nu sunt doar eficiente, ci și adaptabile la protocoalele de securitate în continuă evoluție”, a spus Shetty.

Persistența este esențială pentru perturbarea semnificativă a operațiunilor infractorilor cibernetici, așa cum este și monitorizarea modului de operare al acestor infractori și a modului în care utilizează noi tehnologii.

„Trebuie să fim persistenți în continuare și să acționăm astfel încât infractorilor să le fie mai greu să câștige bani”, a spus Farrell. „Din acest motiv am intentat un al doilea proces pentru a prelua controlul asupra acestui nou domeniu. Trebuie să trimitem un mesaj cum că nu tolerăm activitatea care intenționează să facă rău clienților noștri sau persoanelor din mediul online.”

Lecții de reținut și implicațiile viitoare

Reflectând asupra rezultatului investigației și perturbării Storm-1152, Farrell subliniază că acest caz este important nu doar datorită impactului pe care îl are asupra noastră și asupra celorlalte firme afectate, ci și datorită efortului Microsoft de a extinde impactul acestor operațiuni, care fac parte din ecosistemul general al infracțiunii cibernetice ca serviciu.

Un mesaj puternic pentru public

„Arătând că putem folosi pârghiile legale atât de eficient pentru atacuri malware și operațiuni ale actorilor statali, efectul a fost o reducere semnificativă a activității actorului, până aproape de zero, o bună perioadă după intentarea procesului”, a spus Farrell. „De aici se vede că descurajarea poate fi reală, iar mesajul pe care-l primește publicul este unul important, nu doar pentru impactul avut, cât mai ales pentru binele general al comunității online.”

Noi vectori de acces în identitate

O altă observație importantă este tendința generală a actorilor de amenințare de a trece de la compromiterea punctelor finale la urmărirea, mai degrabă, a identităților.  Vedem la majoritatea atacurilor ransomware că actorii de amenințare valorifică identitățile furate sau compromise ca vector de atac inițial.
„Această tendință arată că identitatea va deveni principalul vector de acces inițial în incidentele viitoare”, spune Mason. „Ar fi bine ca responsabilii cu securitatea informațiilor să aibă o poziție mai fermă în ceea ce privește identitatea, atunci când creează modele pentru organizațiile lor, și să se concentreze mai mult pe partea de identitate la început, după care să treacă la punctele finale.”

Inovarea continuă este esențială

Reapariția Storm-1152 și a strategiilor sale infuzate cu inteligență artificială subliniază natura în continuă evoluție a amenințărilor cibernetice. Utilizarea sofisticată a inteligenței artificiale, atât pentru evitarea, cât și pentru trecerea verificărilor, reprezintă provocări semnificative pentru măsurile de securitate tradiționale. Organizațiile trebuie să se adapteze și să încorporeze tehnici avansate de reducere și detectare pe baza inteligenței artificiale, pentru a rămâne cu un pas în fața acestor amenințări.
„Cazul Storm-1152 evidențiază nevoia esențială de inovare continuă în domeniul securității cibernetice, pentru a contracara tacticile sofisticate utilizate de atacatorii pricepuți în materie de inteligență artificială”, spune Shetty. „Pe măsură ce aceste grupuri evoluează, trebuie să evolueze și liniile de apărare menite să protejeze împotriva lor.”

Știm că ne vom confrunta în continuare cu noi provocări în materie de securitate în zilele ce vor urma, dar suntem optimiști în baza a ce am învățat din această acțiune. Ca membru al comunității de apărare, știm că lucrăm mai bine împreună pentru binele comun și că este esențială colaborarea continuă între sectorul public și cel privat împotriva infracțiunilor cibernetice.

Farrell mai spune: „Colaborarea între echipe în această acțiune, combinând eforturile în materie de investigare a amenințărilor, protecția identității, atribuire, acțiune în instanță și parteneriate externe, este un model de cum trebuie să operăm.”

Articole asociate

Perturbarea serviciilor care reprezintă o poartă de acces pentru infracțiunile cibernetice

Cu sprijinul investigării amenințărilor de la Arkose Labs, Microsoft ia măsuri tehnice și juridice pentru a perturba activitatea principalului vânzător și creator de conturi Microsoft frauduloase, o grupare pe care o numim Storm-1152. Urmărim, luăm aminte și vom acționa pentru a ne proteja clienții.
Aflați mai multe

Microsoft, Amazon și forțele de ordine internaționale se unesc pentru a lupta împotriva fraudei în domeniul asistenței tehnice

Vedeți cum Microsoft și Amazon și-au unit forțele pentru prima dată în istorie pentru a elimina centrele ilegale de asistență tehnică din India.
Aflați mai multe

În ce constă lupta împotriva hackerilor care au perturbat activitatea spitalelor și au pus vieți în pericol

Intrați în culisele unei operațiuni comune întreprinse de Microsoft, producătorul de software Fortra și Health-ISAC pentru a perturba serverele Cobalt Strike și a îngreuna activitatea infractorilor cibernetici.
Aflați mai multe

Urmăriți Microsoft Security