אנחנו ב- Microsoft ממשיכים לבדוק דרכים יצירתיות להגן על אנשים באינטרנט וזה כולל חוסר סבלנות מוחלט לאנשים שיוצרים עותקים מזויפים של המוצרים שלנו כדי לפגוע באחרים. חשבונות מקוונים מזויפים פועלים כשער לאירוח של פשע סייבר, כולל דיוג המוני, גניבת זהות והונאה, ומפיצים הכחשה למתקפות (DDoS) שירות. לכן כיום, אנחנו, יחד עם תובנות בינת איומים רבות ערך מאת Arkose Labs, חברה מובילה בהגנת של אבטחת סייבר וספקית ניהול בוט, רודפים אחר במשווק והיוצר המוביל של חשבונות Microsoft מזויפים, קבוצה שאנו קוראים לה Storm-1152. אנחנו שולחים הודעה נחרצת לאנשים ששואפים ליצור, למכור או להפיץ מוצרים מזויפים של Microsoft לצורך פשע סייבר: אנחנו צופים, שמים לב ונפעל כדי להגן על הלקוחות שלנו. Storm-1152 מפעילה אתרי אינטרנט ודפי מדיה חברתית בלתי חוקיים, מוכרת חשבונות וכלים מזויפים של Microsoft כדי לעקוף תוכנות אימות זהות בין פלטפורמות טכנולוגיה מוכרות היטב. שירותים אלה מפחיתים א הזמן והמאמץ הנחוצים עבור פושעים לבצע אירוח פלילי ואופן פעולה פוגעני באינטרנט. עד היום, Storm-1152 יצרה למכירה בערך 750 מיליון חשבונות Microsoft מזויפים, מה שהביא לקבוצה רווח של מיליוני דולרים בהכנסה בלתי חוקית, ועלה ל- Microsoft ולחברות אחרות אפילו יותר במאבק מול הפעילות הפלילית של הקבוצה. באמצעות הפעולות של ימינו, המטרה שלנו היא להרתיע התנהגות פלילית. על-ידי שאיפה להאט את המהירות שבה פושעי סייבר פותחים את המתקפות שלהם, אנו מכוונים להעלות את המחיר של ביצוע העסקים שלהם תוך המשך החקירה שלנו והגנה על הלקוחות שלנו והמשתמשים המקוונים שלהם.
הירשם עכשיו כדי לצפות בוובינר שמציג תובנות של דוח ההגנה הדיגיטלית של Microsoft לשנת 2024.
שיבוש שירותי השער לפשע סייבר
ל- Storm-1152 יש תפקיד משמעותי באקוסיסטמה בעלת התמחו רבה בפשע סייבר כשירות. פושעי סייבר זקוקים לחשבונות מזויפים כדי לתמוך בפעילויות הפליליות שלהם שגדלות באופן אוטומטי. מאחר שחברות מסוגלות לזהות ולהשבית במהירות חשבונות מזויפים, פושעים זקוקים לכמות הרבה יותר גדולה של לחשבונות כדי להערים על מאמצי הצמצום. במקום לבלות זמן בניסיון ליצור אלפי חשבונות מזויפים, פושעי סייבר יכולים פשוט לרכוש אותם מ- Storm-1152 ומקבוצות אחרות. דבר זה מאפשר לפושעים למקד את המאמצים שלהם ביעדים האולטימטיים שלהם של דיוג, שליחת הודעות ספאם, תוכנת כופר וסוגים אחרים של הונאה ופגיעה. Storm-1152 וקבוצות כמותה מאפשרות דירוג של פושעי סייבר בביצוע הפעילויות הזדוניות שלהם בצורה יעילה יותר.
בינת האיומים של Microsoft זיהתה קבוצות מרובות שמעורבות בתוכנת כופר, גניבת נתונים וסחיטה שהשתמשו בחשבונות של Storm-1152. לדוגמה, קבוצת Octo Tempest, שמוכרת בשם Scattered Spider, השיגה חשבונות Microsoft מזויפים מ- Storm-1152. Octo Tempest היא קבוצת פשעי סייבר בעלת מוטיבציה כלכלית, שממנפת קמפיינים נרחבים של הנדסה חברתית כדי לחשוף לסכנה ארגונים ברחבי העולם מתוך מטרה של סחיטה כספית. Microsoft ממשיכה לעקוב אחר תוכנות כופר או גורמי איום סחיטה מרובים אחרים שרכשו חשבונות מזויפים מ- Storm-1152 כדי לשפר את המתקפות שלהם, לרבות Storm-0252 ו- Storm-0455.
ביום חמישי, 7 בדצמבר, Microsoft השיגה צו בית משפר מהמחוז הדרומי של ניו יורק ללכוד תשתית שמבוססת בארה”ב ולהוריד אתרי אינטרנט מהרשת שקבוצת Storm-1152 משתמשת בהם כדי לפגוע בלקוחות Microsoft. בעוד שהתיק שלנו מתמקד בחשבונות Microsoft מזויפים, אתרי האינטרנט שמושפעים גם מכרו שירותים כדי לעקוץ צעדי אבטחה בפלטפורמות טכנולוגיה מוכרות אחרות. לכן ההשפעה של הפעולות של ימינו רחבה יותר, והיא מועילה למשתמשים מעבר למשתמש Microsoft. יחידת הפשעים הדיגיטליים של Microsoft שיבשה במיוחד את:
- Hotmailbox.me, אתר אינטרנט שמוכר חשבונות Microsoft Outlook מזויפים.
- 1stCAPTCHA, AnyCAPTCHA, ו- NoneCAPTCHA, אתרי אינטרנט שמאכלסים את הכלים, התשתית והמכירה של שירות פתרון ה- CAPTCHA כדי לעקוץ את אישור השימוש והגדרת החשבון על-ידי אדם בשר ודם. אתרים אלה מכרו כלי מעקף של אימות זהות לפלטפורמות טכנולוגיה אחרות.
- אתרי המדיה החברתית משמשים באופן פעיל לשווק את השירותים האלה.
תמונות של אתרי אינטרנט בלתי חוקיים של Storm-1152.
Microsoft מחויבת לספק חוויה דיגיטלית בטוחה עבור כל אדם וארגון על-פני כדור הארץ. אנחנו עובדים בצמוד עם Arkose Labs כדי לפרוס פתרון הגנת CAPTCHA מהדור הבא. הפתרון דורש שכל משתמש פוטנציאלי שמעוניין לפתוח חשבון Microsoft, יציג את היותו בן אנוש (לא בוט) ויאמת את הדיוק של הייצוג הזה על-ידי פתרון של אתגרים מסוגים שונים.
כמייסד והמנכ”ל של Arkose Labs, קווין גוסצ’וק אומר: ”Storm-1152 היא אויב מעורר אימה שמטרת הקמתו היחידה היא להרוויח כסף על-ידי עידוד יריבים להתחייב למתקפות מורכבות. הקבוצה מובחנת על-ידי העובדה שהיא בנתה את עסק ה- CaaS שלה לאור יום לעומת ה- dark web. Storm-1152 פועלת כדאגה מתמשכת טיפוסית באינטרנט, שמספקת תרגול בכלים שלה ואפילו מציעה תמיכת לקוחות מלאה. במציאות, Storm-1152 הייתה שער פתוח להונאה רצינית.”
לא די בזאת שהפעילות של Storm-1152 מפרה את תנאי השימוש של Microsoft על-ידי מכירת חשבונות מזויפים, היא גם מחפשת בכוונה לפגוע בלקוחות של Arkose Labs ולרמות קרבנות בכך שהיא מעמידה פנים להיות משתמשים חוקיים בניסיון לעקוף אמצעי זהירות של אבטחה.
צילום מסך של תפיסת תחום על-ידי Microsoft בשל העובדה שאתר אינטרנט זה מנסה למכור חשבונות Microsoft שהושגו דרך הונאה
הניתוח של פעילות Storm-1152 כולל זיהוי, ניתוח, מדידת שימוש, רכישות בדיקה חשאיות ופיתוח לאחור כדי לזהות במדויק את התשתית הזדונית שהתארחה בארצות הברית. בינת האיומים של Microsoft ויחידת המחקר של בינת איומי הסייבר של Arkose (ACTIR) מספקות נתונים ותובנות נוספים לחיזוק התיק המשפטי שלנו.
כחלק מהחקירה שלנו, הצלחנו לאשר את הזהות של הגורמים המובילים הפעולות של Storm-1152 - Duong Dinh Tu, Linh Van Nguyễn (מוכר גם בשם Nguyễn Van Linh) ו- Tai Van Nguyen - שממוקמים בווייטנאם. ממצאים שלנו מראים שאנשים אלה תפעלו וכתבו את הקוד עבור אתרי האינטרנט הבלתי חוקיים, פרסמו הוראות מפורטות לגבי אופן השימוש במוצרים שלהם באמצעות ערכות לימוד בווידאו וסיפקו שירותי צ'אט כדי לסייע לאנשים שמשתמשים בשירותים המזויפים שלהם.
Microsoft הגישה מאז הפנייה פלילית לרשויות אכיפת החוק בארה”ב. אנחנו אסירי תודה על השותפות שלנו עם רשויות אכיפת החוק שיכולים להביא לדין את אותם אנשים שרוצים לפגוע בלקוחות שלנו.
ערוץ ה- YouTube של Duong Dinh Tu עם ”סרטוני כיצד” כדי לעקוץ צעדי אבטחה.
הפעולה של היום היא המשך של האסטרטגיה של Microsoft לכוון לאקוסיסמה הרחבה יותר של פשעי סייבר ולשים למטרה את הכלים שבהם משתמשים פושעי סייבר כדי לפתוח במתקפות שלהם. היא בנויה על הציפיה שלנו משיטה משפטית ששימשה בהצלחה לשיבוש תוכנה זדונית ופעולות ברמת מדינת הלאום. יצרנו שותפות גם עם ארגונים אחרים ברחבי התעשייה כדי להגדיל את שיתוף הבינה לגבי הונאה ולהמשיך לשפר את האלגוריתמים שלנו של בינה מלאכותית ולמידת מכונה שמזהים במהירות ומסמנים בדגל חשבונות מזויפים.
כפי שאמרנו בעבר, אין שימוש שניתן להשלים ביום אחד. הרדיפה אחר פשעי סייבר דורשת עקביות ודריכות מתמשכות כדי לשבש תשתית זדונית חדשה. בשעה שהפעולות המשפטיות של ימינו ישפיעו על הפעולות של Storm-1152, אנו צופים שגורמי איום אחרים יאמצו את הטכניקות שלהם כתוצאה מכך. שיתוף פעולה מתמשך עם המגזר הציבורי והפרטי, כמו זה של ימינו בין Arkose Labs ורשויות אכיפת החוק בארה”ב, נותר חיוני אם אנו רוצים לפגוע משמעותית בהשפעה של פשע סייבר.
עקוב אחר 'האבטחה של Microsoft'