Trace Id is missing

Odvažna akcija protiv prijevara: remećenje rada grupe Storm-1152

Zajedničko korištenje
Šareno polje krugova s raznim ikonama.

Pregled

U ožujku 2023. godine veliki Microsoftov klijent je bio suočen sa serijom računalnih napada putem slanja bezvrijedne e-pošte što je izazvalo prekide u sustav klijenta.

Uzrok toga? Serija lažno kreiranih Microsoft Outlook i Hotmail računa s ciljem da iskoriste usluge klijenta pružene kao probne verzija za potencijalne korisnike, iako ovi lažni računi nisu imali namjeru da ikada plate za te usluge. Kao rezultat toga, klijent je blokirao sve nove registracije računa s Microsoft Outlook i Hotmail adresa.

Iza ovog napada je zapravo stajala veća zlonamjerna organizacija sa sjedištem u Vijetnamu – grupa koju Microsoft naziva Storm-1152.

Storm-1152 je vodio nezakonita web-mjesta i stranice društvenih mreža, prodaje prijevarne Microsoftove račune i alate kako bi se premostio softver za provjeru identiteta na poznatim tehnološkim platformama. Usluge grupe Storm-1152 djeluju kao pristupnik računalnom zločinu smanjenjem vremena i truda potrebnog zločincima da provedu mnoga zločinačka i zlostavljačka ponašanja na mreži. Ukupno je grupa izradila za prodaju otprilike 750 milijuna prijevarnih Microsoftovih računa i ostvario zaradu od više milijuna dolara nezakonitog prihoda što tvrtke stajalo još više kako bi se borile protiv njihove zločinačke aktivnosti.

Ispostavilo se da su se brojne grupe služile računima grupe Storm-1152 za provođenje napada ucjenjivačkim softverom, krađe podataka i iznude, uključujući​​ Octo Tempest, Storm-0252, Storm-0455 i druge grupe. Njihov posao s prodajom računa učinio je ovu grupu jednim od najvećih dobavljača računalnog kriminala kao usluge na mreži.

Microsoft je pratio rast ovih zlonamjernih aktivnosti od 2022., povećavajući upotrebu algoritama strojnog učenja kako bi spriječio i otkrio uočene obrasce u stvaranju ovih lažnih računa. Međutim, proljeće 2023. godine označilo je prekretnicu zbog eskalacije u zloupotrebi Microsoftovih platformi i njegovih partnera. To je zahtijevalo agresivniji nastup, stoga je osnovan tim sa različitim funkcijama, koji je uključivao članove iz Microsofta i našeg partnera, tvrtku Arkose Labs.

Odmah nakon poduzetih mjera zabilježeno je smanjenje od otprilike 60 % u području otvaranja novih računa. Ovo se smanjenje približno podudara s onih 60 % ili više novootvorenih računa koje su naši algoritmi ili partneri kasnije identificirali kao zlonamjerne, a koje smo potom suspendirali iz Microsoftovih usluga. 

Koordinirani napori doveli su do toga da je Microsoftov Odjel za digitalne zločine (DCU) poduzeo prve pravne mjere u prosincu 2023. kako bi zaplijenio i zatvorio web-mjesta koja je grupa Storm-1152 koristila za prodaju svojih usluga. Odmah nakon poduzetih mjera zabilježeno je smanjenje od otprilike 60 % u području otvaranja novih računa. Ovo se smanjenje približno podudara s onih 60 % ili više novootvorenih računa koje su naši algoritmi ili partneri kasnije identificirali kao zlonamjerne, a koje smo potom suspendirali iz Microsoftovih usluga. Dana 23. srpnja podnijeli smo drugu građansku tužbu kako bismo omeli grupu u pokušaju uspostavljanja nove infrastrukture nakon naše tužbe iz prosinca.

Ovaj izvještaj o novim prijetnjama pruža uvid u to kako su mjere provedene i ističe važnost suradnje unutar sektora u borbi protiv računalnih prijetnji. Ovaj slučaj je primjer kako sektor može koristiti pravne kanale da pomogne u odvraćanju drugih grupa i čuvanju sigurnosti pojedinaca na mreži. Također pokazuje značaj kontinuiranih ometanja te da pravne mjere ostaju učinkoviti način u borbi protiv računalnih zločinaca, čak i kada oni mijenjaju svoju taktiku. U konačnici, nijedna se akcija ne odvija jednom.

Otkrivanje i identificiranje grupe Storm-1152

U veljači 2023. Matthew Mesa, viši istraživač za sigurnost u Centru za obavještavanje o prijetnjama (MSTIC), uočio je rastući trend upotrebe Microsoft Outlook računa u masovnim kampanjama krađe identiteta. Na svojoj funkciji Mesa analizira kampanje e-poštom i traži sumnjive aktivnosti. Kako je primjećivao rast u upotrebi lažnih računa, postavio je sebi pitanje: „Jesu li svi ovi računi međusobno povezani?”

Odmah je izradio profil za novog zlonamjernog aktera, grupu Storm-1152, i počeo pratiti njezinu aktivnost, a Microsoftovu timu za zaštitu identiteta skrenuo je pažnju na svoja saznanja. Shinesa Cambric, glavna upraviteljica za proizvodnju u Microsoftovu timu za zaštitu od zloupotreba i prijevara, također je pratila ovu zlonamjernu aktivnost i primijetila je povećan broj automatskih računa (botova) koji pokušavaju riješiti CAPTCHA izazove koji se koriste u svrhu zaštite procesa prijave za korisnike Microsoftovih usluga.​

„Moj se tim fokusira na korisničko iskustvo i na iskustvo tvrtki, što znači da svakodnevno štitimo milijarde računa od prijevara i zloupotreba,” objašnjava Cambric. „Naša uloga je da shvatimo metodologije zlonamjernih aktera kako bismo mogli izbjeći napade i spriječiti pristup našim sustavima. Uvijek razmišljamo o sprječavanju – o tome kako zaustaviti zlonamjerne aktere na samom pragu.”

Njenu pažnju je privukao rastući trend prijevara povezanih sa tom aktivnošću. Kada su brojne stranke – Microsoftovi partneri, kao i dijelovi našeg lanca opskrbe – stupile u kontakt da prijave štetu koja je nastala preko ovih botom kreiranih Microsoftovih računa, Cambric je krenula u akciju.

Zajedno sa stručnjacima za zaštitu računalne sigurnosti i upravljanje botovima iz tvrtke Arkose Labs, njezin je tim radio na identifikaciji i onemogućivanju lažnih računa grupe, nakon čega su detalje svog rada podijelili s kolegama iz tima Microsoftova centra za obavještavanje o prijetnjama (MSTIC), kao i s Arkoseovom jedinicom za istraživanje obavještavanja o računalnim prijetnjama (ACTIR).

„Naša uloga je da shvatimo metodologije zlonamjernih aktera kako bismo mogli izbjeći napade i spriječiti pristup našim sustavima. Uvijek razmišljamo o sprječavanju – o tome kako zaustaviti zlonamjerne aktere na samom pragu.” 
Shinesa Cambric 
glavna upraviteljica za proizvodnju u Microsoftovu timu za zaštitu od zloupotreba i prijevara 

„U početku je naša uloga bila zaštititi Microsoft od zlonamjernog stvaranja računa,” objašnjava Patrice Boffa, glavni službenik za odnose s korisnicima tvrtke Arkose Labs, „ali nakon što smo Storm-1152 identificirali kao grupu, počeli smo prikupljati i velik broj obavještavanja o prijetnjama.”

Shvaćanje grupe Storm-1152

Kao grupa u razvoju koja je motivirana financijskim interesima, Storm-1152 se isticao po svojoj neobično dobroj organizaciji i profesionalizmu kada su u pitanju njegove ponude u području računalnog zločina kao usluge (CaaS). Radeći kao zakonita tvrtka, grupa Storm-1152 je svoju nezakonitu uslugu rješavanja CAPTCHA izazova obavljao usred bijela dana.

„Da ne znate da je u pitanju zlonamjerna organizacija, mogli biste je usporediti s bilo kojom drugom SaaS tvrtkom.” 
Patrice Boffa
Glavni službenik za odnose s korisnicima

„Da ne znate da je u pitanju zlonamjerna organizacija, mogli biste je usporediti s bilo kojom drugom SaaS tvrtkom,” kaže Bofa, dodajući da je AnyCAPTCHA.com grupe Storm-1152 imao javno web-mjesto, prihvaćao kriptovalute putem platforme PayPal i čak nudio kanal za podršku.

Ova usluga je koristila botove za masovno prikupljanje CAPTCHA tokena, koji su se zatim prodavali kupcima. Kupci su te tokene, prije nego bi istekli, koristili u neprikladne svrhe, (kao što je masovno stvaranje lažnih Microsoftovih računa koji su kasnije korišteni u računalnim napadima). Pokušaji stvaranja lažnih računa odvijali su se s tolikom brzinom i učinkovitošću da je tim iz tvrtke Arkose Labs zaključio da grupa primjenjuje automatiziranu tehnologiju strojnog učenja. 

Bofa je rekao: „Kada smo vidjeli brzinu kojom su se prilagođavali našim mjerama za smanjenje rizika, shvatili smo da su mnogi njihovi napadi utemeljeni na umjetnoj inteligenciji.” „U usporedbi s drugim protivnicima s kojima smo se susretali, grupa Storm-1152 je upotrebljavala umjetnu inteligenciju na inovativne načine.” Timovi iz tvrtke Arkose Labs i Microsofta su primijetili promjenu u poslovnim taktikama kao njihov način da se prilagode povećanim naporima u otkrivanju i sprječavanju.

U početku je fokus grupe Storm-1152 bio na pružanju usluga zločincima za zaobilaženje sigurnosnih obrana drugih tehnoloških tvrtka, pri čemu je​Microsoft​ bio najveća žrtva. Storm-1152 nudio je usluge za zaobilaženje​​ obrana radi stvaranja prijevarnih računa, a zatim je nudio novu uslugu nakon što bi osjetio detekciju. Umjesto da pruža alate za zaobilaženje obrane pri stvaranju računa, grupa je prešla na upotrebu svojih vlastitih CAPTCHA tokena, dobivenih putem botova, kako bi na taj način stvorila lažne Microsoftove račune koje je kasnije prodavala.

„Kod grupe Storm-1152 smo primijetili tipično ponašanje,” rekao je Bofa. „Kad god uhvatite zlonamjernog aktera, oni pokušaju nešto drugo. Zadržati prednost u odnosu na njih je poput igre mačke i miša.”

Stvaranje pravnog postupka protiv grupe Storm-1152

Kada su zlonamjerne aktivnosti došle do kritične točke u ožujku 2023., Cambric i Mesa su angažirali Microsoftov odjel za digitalne zločine (DCU) kako bi vidjeli što se još može napraviti.

Kao Microsoftovo vanjsko tijelo za provođenje zakona, Odjel za digitalne zločine se obično bavi samo najozbiljnijim ili najupornijim akterima. Fokus ovog odjela je na ometanju – podizanju troškova poslovanja – za što su primarni alati prijave o zločinu i/ili građanske tužbe.

Da bi dodatno istražili situaciju, sastali su se Sean Farrell, glavni savjetnik tima za provođenje zakona u području računalnog zločina unutar Microsoftova Odjela za digitalne zločine Microsoft, Jason Lyons, glavni upravitelj za istrage u timu za provođenje zakona u području računalnog kriminala unutar Microsoftova Odjela za digitalne zločine, kao i viši istraživač za računalne zločine Maurice Mason. Koordinirali su s vanjskim savjetnicima Microsofta kako bi osmislili pravnu strategiju i prikupili dokaze potrebne za podnošenje građanske tužbe, koristeći uvide iz više timova unutar Microsofta, kao i informacije o računalnim prijetnjama koje je prikupljala tvrtka Arkose Labs.

„Mnogo posla je već bilo napravljeno kada se u to uključilo Odjel za računalni zločin,” prisjeća se Lyons. „Tim za zaštitu identiteta i Arkose Labs već su obavili značajan dio posla u identifikaciji i zatvaranju računa, a kako je MSTIC mogao povezati lažne račune s određenim razinama infrastrukture, mislili smo da bi ovo bio dobar pravni postupak za Odjel za digitalni zločin.”

Neki od čimbenika koji pridonose formiranju pravnog postupka koji vrijedi pokrenuti uključuju postojanje zakona koji se mogu koristiti u građanskoj tužbi, postojanje nadležnosti, kao i spremnost same tvrtke da javno imenuje pojedince.

Lyons je usporedio razmatranje ovih čimbenika s procesom trijaže, gdje je Odjel za digitalni zločin pregledao činjenice i informacije kako bi utvrdio je li sve to dovoljno uvjerljivo. „Na temelju onoga što radimo, postavljamo si pitanje želimo li uložiti svoje vrijeme i energiju u poduzimanju daljnjih radnji,” rekao je. „Hoće li ostvareni učinak biti vrijedan resursa koje je potrebno uložiti?” U ovom je slučaju odgovor bio da.

Mason je dobio zadatak da se bavi povezivanjem aktivnosti grupe Storm-1152 s računalnim zločinom kao uslugom. „Moj je zadatak bio da pratim kako grupa Storm-1152 prodaje ove lažne račune drugim grupama zlonamjernih aktera, kao i da identificiram odgovorne pojedince u grupi Storm-1152,” objašnjava Mason.

Kroz svoje istraživačke aktivnosti, koje su obuhvaćale detaljnu analizu društvenih mreža i financijskih tragova, Microsoft i Arkose Labs su uspjeli identificirati odgovorne pojedince iza grupe Storm-1152 – Duong Dinh Tu, Linh Van Nguyễn (poznat i kao Nguyễn Van Linh) i Tai Van Nguyen.

Njihovi su rezultati pokazali da su ovi pojedinci upravljali kodom i napisali ga za nezakonita web-mjesta, objavili detaljne upute o tome kako koristiti njihove proizvode preko video uputa te pružali usluge čavrljanja kako bi pomogli onima koji su koristili njihove prijevarne usluge. Nakon toga su identificirane dodatne poveznice s tehničkom infrastrukturom grupe, koju je tim uspio precizno locirati na hostovima u SAD-u.

„Jedan od razloga zašto poduzimamo ove radnje u Odjelu za digitalni zločin je da spriječimo utjecaj ovih računalnih zločina. To činimo podnošenjem tužbi ili prijava o zločinu koje dovode do uhićenja i sudskog progona.”
Sean Farrell 
Glavni savjetnik, tim za provođenje zakona u području računalnog zločina; Microsoft

Opisujući odluku da se nastavi sa slučajem, Farrell kaže: „Imali smo sreće zahvaljujući sjajno odrađenom poslu naših timova koji su identificirali aktere koji su postavili infrastrukturu i zločinačke usluge.

Jedan od razloga zašto poduzimamo ove radnje u Odjelu za digitalni zločin je da spriječimo utjecaj ovih računalnih zločinaca. To činimo podnošenjem tužbi ili prijava o zločinu koje dovode do uhićenja i sudskog progona. Kada uspijete identificirati aktere i kada ih javno imenujete podnošenjem tužbi na teritoriju Sjedinjenih Američkih Država, vi time šaljete snažnu poruku.”​​

Storm-1152 se ponovo pojavljuje i drugi pravni postupak​

Iako je tim odmah primijetio pad u infrastrukturi nakon radnji ometanja u prosincu 2023., grupa Storm-1152 se ponovo pojavila pokretanjem novog web-mjesta pod nazivom RockCAPTCHA, kao i objavom novih video uputa za svoje korisnike. RockCAPTCHA je usmjerio svoje aktivnosti protiv Microsofta nudeći usluge koje su posebno osmišljene da zaobiđu CAPTCHA sigurnosne mjere tvrtke Arkose Labs. Akcija u srpnju omogućila je Microsoftu da preuzme kontrolu nad ovim web-mjestom i nanese još jedan udarac akterima.

Arkoseova istraživačka jedinica za obavještavanje o prijetnjama (ACTIR) je dodatno analizirala kako grupa Storm-1152 pokušava obnoviti svoje usluge. Primijetili su da grupa primjenjuje naprednije metode, uključujući pojačanu upotrebu umjetne inteligencije (AI), kako bi prikrila svoje aktivnosti i izbjegla otkrivanje. Ovo ponovno pojavljivanje ukazuje na promjene u okruženju prijetnji i pokazuje napredne sposobnosti napadača koji su vješti u tehnologijama umjetne inteligencije. 

Tehnike izbjegavanja predstavljaju jedan od primarnih područja u kojem je grupa Storm-1152 integrirala umjetnu inteligenciju. Arkose Labs je primijetio da grupa upotrebljava umjetnu inteligenciju za sintetičko generiranje potpisa koji su nalik ljudskim.

Vikas Shetty je voditelj proizvodnje u tvrtki Arkose Labs i vodi njihov odjel za istraživanje obavještavanja o prijetnjama, ACTIR. „Upotreba modela umjetne inteligencije omogućava napadačima da obučavaju sustave koji generiraju potpise koji nalikuju ljudskima i koji se zatim mogu upotrijebiti u velikim razmjerima za napade,” rekao je Shetty. „Složenost i raznovrsnost ovih potpisa otežavaju prepoznavanje od strane tradicionalnih metoda otkrivanja.”

Osim toga, tvrtke Arkose Labs je primijetila da grupa Storm-1152 pokušava regrutirati i zaposliti inženjere za umjetnu inteligenciju, uključujući studente magistarskih studija, doktorske kandidate pa čak i profesore u zemljama kao što su Vijetnam i Kina.

„Ti pojedinci su plaćeni da projektiraju napredne modele umjetne inteligencije koji mogu zaobići sofisticirane sigurnosne mjere. Stručnost ovih inženjera za umjetnu inteligenciju osigurava da modeli ne budu samo učinkoviti, već i sposobni prilagoditi se razvijajućim protokolima za sigurnost,” rekao je Shetty.

Ostati uporan je od ključne važnosti za značajno ometanje aktivnosti računalnih zločinaca, kao i praćenje njihovih metoda i upotrebe novih tehnologija.

„Moramo ostati uporni i poduzeti mjere koje otežavaju zločincima zarađivanje,” rekao je Farrell. „To je razlog zbog kojeg smo podnijeli drugu tužbu u svrhu preuzimanja kontrole nad ovom novom domenom. „Moramo poslati poruku da nećemo tolerirati aktivnosti kojima se pokušava nauditi našim klijentima i pojedincima na mreži.”

Poruke i buduće implikacije

Razmišljajući o ishodu istrage i ometanju aktivnosti grupe Storm-1152, Farrell naglašava da je ovaj slučaj važan ne samo zbog utjecaja na nas i druge pogođene tvrtke, već i zbog Microsoftova napora u povećanju utjecaja ovih operacija koje su dio šireg ekosustava u području računalnog zločina kao usluge.

Snažna poruka za javnost

„Pokazujući da možemo primijeniti pravne strategije koje smo tako učinkovito primjenjivali protiv napada zlonamjernim softverom i operacija država došlo je do značajnog smanjenja aktivnosti aktera koje su se, nakon što smo podnijeli tužbu, spustile gotovo na nulu tijekom dužeg vremenskog razdoblja,” kaže Farrell. „Mislim da smo iz ovoga vidjeli da je moguće postići stvarno odvraćanje, a poruka koju javnost iz toga dobiva je važna – ne samo zbog utjecaja, već i zbog općeg dobra virtualne zajednice.”

Novi vektori pristupa kroz identitet

Još jedno važno opažanje je opći prelazak zlonamjernih aktera s pokušaja da kompromitiraju krajnje točke ka napadima na identitete korisnika.  Kod većine smo napada ucjenjivačkim softverom primijetili da zlonamjerni akteri upotrebljavaju ukradene ili kompromitirane identitete kao početni vektor napada.
„Ovaj trend pokazuje kako će identitet preuzeti kao vektor inicijalnog pristupa za nadolazeće incidente”, kaže Mason. „Direktori za sigurnost informacija bi trebali zauzeti ozbiljniji stav naspram zaštite identiteta kada modeliraju sigurnosne strategije za svoje organizacije – prvo se trebaju fokusirati na sigurnost identiteta, a zatim na krajnje točke.”

Kontinuirana inovacija je od ključne važnosti

Ponovno pojavljivanje grupe Storm-1152 i njezine strategije potpomognute umjetnom inteligencijom ističe razvijajuću prirodu računalnih prijetnji. Sofisticiran način na koji upotrebljava umjetnu inteligenciju za izbjegavanje i rješava izazove predstavlja značajan problem za tradicionalne sigurnosne mjere. Da bi ostale korak ispred ovih prijetnji, organizacije se moraju prilagoditi uključivanjem naprednih tehnika za otkrivanje i smanjenje rizika utemeljenih na umjetnoj inteligenciji.
„Slučaj grupe Storm-1152 ističe ključnu potrebu za kontinuiranom inovacijom u području računalne sigurnosti kako bismo se suprotstavili sofisticiranim taktikama koje primjenjuju napadači upućeni u umjetnu inteligenciju,” kaže Shetty. „Kako se ove grupe razvijaju, tako se i sustavi zaštite moraju unaprijediti i prilagoditi novim prijetnjama.”

Znamo da ćemo nastaviti suočavati se s novim sigurnosnim izazovima u danima koji su pred nama, ali smo optimisti u pogledu onoga što smo naučili iz ove akcije. Kao član zajednice obrambenih stručnjaka, znamo da bolje radimo zajedno u službi zajedničkog dobra i da je nastavak suradnje između javnog i privatnog sektora ključan u borbi protiv računalnog zločina.

Farrell kaže: „Suradnja između timova u ovoj akciji – kombiniranjem napora u području obavještavanja o prijetnjama, zaštite identiteta, istrage, atribuiranja, pravnih postupaka i vanjskih partnerstava – predstavlja model načina djelovanja.”

Povezani članci

Onemogućivanje usluga pristupnika računalnom zločinu

Microsoft, uz podršku za obavještavanje o prijetnjama iz tvrtke Arkose Labs, poduzima tehničke i pravne mjere za onemogućivanje prodavatelja i kreatora broj 1 prijevarnih Microsoftovih računa, grupe koju zovemo Storm-1152. Gledamo, bilježimo i djelovat ćemo za zaštitu naših korisnika.
Saznajte više

Microsoft, Amazon i međunarodne jedinice za provođenje zakona udružuju se radi borbe protiv prijevara tehničke podrške

Pogledajte kako su Microsoft i Amazon udružili snage prvi put kako bi onesposobili nezakonite pozivne centre tehničke podrške u Indiji.
Saznajte više

Uvid u borbu protiv hakera koji su stvorili smetnje u bolnicama i ugrozili živote

Idite iza kulisa u zajedničkoj operaciji između Microsofta, proizvođača softvera Fortra i organizacije Health-ISAC za onemogućivanje probijenih Cobalt Strike poslužitelja kako bi se otežale operacije računalnih kriminalaca.
Saznajte više

Pratite Microsoft Security