Trace Id is missing

Drosmīga rīcība pret krāpniecību: Storm-1152 pārtraukšana

Koplietošana
Krāsains apļu masīvs ar dažādām ikonām.

Pārskats

2023. gada martā liels Microsoft klients piedzīvoja vairākus kiberuzbrukumus ar surogātpastu, kas izraisīja traucējumus klienta sistēmā.

Kāds ir iemesls? Krāpnieciskos nolūkos izveidoti Microsoft Outlook un Hotmail konti, kas centās gūt labumu no klienta pakalpojumiem, kuri potenciālajiem lietotājiem tika piedāvāti kā testa izmēģinājumi, lai gan šiem viltotajiem kontiem nebija nodoma kādreiz maksāt par šiem pakalpojumiem. Rezultātā klients bloķēja visu jauno kontu reģistrāciju no Microsoft Outlook un Hotmail adresēm.

Patiesībā aiz šī uzbrukuma stāvēja lielāks krāpniecisks uzņēmums Vjetnamā — grupējums, ko Microsoft sauc par Storm-1152.

Grupējums Storm-1152 vadīja nelikumīgas tīmekļa vietnes un sociālo tīklu lapas, pārdodot krāpnieciskus Microsoft kontus un rīkus, lai apietu identitātes verifikācijas programmatūru labi zināmās tehnoloģiju platformās. Storm-1152 pakalpojumi darbojas kā vārteja kibernoziegumiem, samazinot laiku un pūles, kas nepieciešamas noziedzniekiem, lai tiešsaistē veiktu virkni noziedzīgu un ļaunprātīgu darbību. Kopumā grupējums pārdošanai ir radījis aptuveni 750 miljonus krāpniecisku Microsoft kontu, nopelnot grupējumam nelikumīgus ieņēmumus miljoniem dolāru apmērā un radot uzņēmumiem vēl lielākas grūtības apkarot šīs noziedzīgās darbības.

Izrādās, ka vairāki grupējumi izmantoja Storm-1152 kontus, lai īstenotu izspiedējprogrammatūru, datu zādzību un izspiešanu, tostarp​ Octo Tempest, Storm-0252, Storm-0455 un citi. Tā kontu pārdošanas komercdarbība to padarīja par vienu no lielākajiem kibernozieguma kā pakalpojuma īstenotājiem.

Microsoft jau kopš 2022. gada seko šīs ļaunprātīgās darbības pieaugumam, palielinot mašīnmācīšanās algoritmu izmantošanu, lai novērstu un atklātu novērotos krāpniecisko kontu izveides modeļus. Tomēr 2023. gada pavasaris iezīmēja augstāko punktu, jo pieauga Microsoft un partneru platformu ļaunprātīga izmantošana. Bija nepieciešama agresīvāka rīcība, un tika izveidota daudzfunkcionāla Microsoft un mūsu partnera Arkose Labs komanda.

Uzreiz pēc šīs darbības novērojām, ka reģistrācijas trafiks samazinājās par aptuveni 60%. Šis samazinājums ir cieši saistīts ar 60% vai vairāk reģistrāciju, kuras mūsu algoritmi vai partneri vēlāk identificēja kā ļaunprātīgas un kuras apturējām no Microsoft pakalpojumiem. 

Koordinēto centienu rezultātā Microsoft Digitālo noziegumu apkarošanas vienība (DCU) 2023. gada decembrī uzsākapirmotiesvedību, lai konfiscētu un slēgtu vietnes, ko Storm-1152 izmantoja savu pakalpojumu pārdošanai. Uzreiz pēc šīs darbības novērojām, ka reģistrācijas trafiks samazinājās par aptuveni 60%. Šis samazinājums ir cieši saistīts ar 60% vai vairāk reģistrāciju, kuras mūsu algoritmi vai partneri vēlāk identificēja kā ļaunprātīgas un kuras apturējām no Microsoft pakalpojumiem. 23. jūlijā iesniedzām otru civilprasību, lai izjauktu jauno infrastruktūru, ko grupējums bija mēģinājis izveidot pēc mūsu decembra tiesas prāvas.

Šajā draudu ziņojumā ir atspoguļotas notikumu aizkulises un uzsvērts, cik svarīgi ir sadarboties visās nozarēs, lai cīnītos pret kiberapdraudējumiem. Šī lieta ir piemērs tam, kā nozare var izmantot juridiskos kanālus, lai palīdzētu apturēt citus grupējumus un nodrošinātu personu drošību tiešsaistē. Tas liecina arī par nepārtrauktu traucējumu nozīmi un to, ka juridiskas darbības joprojām ir efektīva metode cīņā pret kibernoziedzniekiem pat tad, kad tie maina savu taktiku. Galu galā neviena operācija nav vienreizēja darbība.

Storm-1152 atklāšana un identifikācija

2023. gada februārī Microsoft draudu informācijas centra (MSTIC) vecākais drošības pētnieks Metjū Mesa (Matthew Mesa) novēroja, ka arvien biežāk Microsoft Outlook konti tiek izmantoti masveida pikšķerēšanas kampaņās. Mesa savā darbā analizē e-pasta kampaņas un meklē aizdomīgas darbības. Tā kā viņš turpināja novērot krāpniecisku kontu izmantošanas pieaugumu, viņš sev uzdeva jautājumu: “Vai visi šie konti varētu būt savstarpēji saistīti?”

Viņš nekavējoties izveidoja jaunu draudu izpildītāja profilu — Storm-1152 — un sāka izsekot tā aktivitātes, kā arī ziņoja par saviem atklājumiem Microsoft Identitātes komandai. Šinesa Kembrika (Shinesa Cambric), Microsoft Aizsardzības pret ļaunprātīgu izmantošanu un krāpniecību komandas identitātes produktu vadītāja, arī sekoja šai ļaunprātīgajai darbībai un pamanīja, ka pieaug automatizēto kontu (robotu) skaits, kas mēģina pārvarēt CAPTCHA izaicinājumus, kurus izmanto, lai aizsargātu reģistrēšanās procesu Microsoft patērētāju pakalpojumiem.​

“Mana komanda koncentrējas gan uz patērētāju, gan uzņēmumu pieredzi, un tas nozīmē, ka mēs katru dienu aizsargājam miljardiem kontu no krāpšanas un ļaunprātīgas izmantošanas,” skaidro Kembrika. “Mūsu uzdevums ir izprast draudu izpildītāju metodoloģiju, lai varētu apiet uzbrukumus un novērst piekļuvi mūsu sistēmām. Mēs vienmēr domājam par profilaksi — par to, kā apturēt draudu uzpildītājus jau pašā sākumā.”

Viņas uzmanību piesaistīja pieaugošais krāpniecības līmenis saistībā ar šo darbību. Kad vairākas puses — Microsoft partneri, kā arī mūsu piegādes ķēdes daļas — vērsās ar ziņojumiem par kaitējumu, ko radīja šie robotu izveidotie Microsoft konti, Kembrika sāka rīkoties.

Kembrikas komanda strādāja kopā ar kiberdrošības aizsardzības un robotu pārvaldības pakalpojumu sniedzēju Arkose Labs, lai identificētu un atspējotu grupējuma krāpnieciskos kontus, un dalījās ar informāciju par savu darbu ar kolēģiem no Microsoft MSTIC un Arkose Kiberdraudu informācijas izpētes vienības (ACTIR).

“Mūsu uzdevums ir izprast draudu izpildītāju metodoloģiju, lai varētu apiet uzbrukumus un novērst piekļuvi mūsu sistēmām. Mēs vienmēr domājam par profilaksi — par to, kā apturēt draudu uzpildītājus jau pašā sākumā.” 
Šinesa Kembrika (Shinesa Cambric) 
Identitātes produktu vadītāja, Aizsardzības pret ļaunprātīgu izmantošanu un krāpniecību komanda, Microsoft 

“Sākotnēji mūsu uzdevums bija aizsargāt Microsoft no ļaunprātīgas kontu izveides,” skaidro Arkose Labs Klientu nodaļas vadītājs Patriss Bofa (Patrice Boffa), “taču pēc tam, kad tika identificēta grupa Storm-1152, sākām vākt arī daudz draudu informācijas.”

Storm-1152 izprašana

Storm-1152 kā finansiāli motivēts attīstības grupējums izcēlās ar neparasti labi organizētu un profesionālu kibernoziegumu kā pakalpojumu (CaaS) piedāvājumu. Būdamst likumīgs uzņēmums, Storm-1152 darbojās kā nelegāls CAPTCHA risinājuma pakalpojuma sniedzējs gaišā dienas laikā.

“Ja jūs nezinātu, ka šī ir ļaunprātīga organizācija, jūs to varētu salīdzināt ar jebkuru citu SaaS uzņēmumu,” 
Patriss Bofa (Patrice Boffa)
Klientu nodaļas vadītājs, Arkose Labs

“Ja jūs nezinātu, ka šī ir ļaunprātīga organizācija, jūs to varētu salīdzināt ar jebkuru citu SaaS uzņēmumu,” saka Bofa, piebilstot, ka Storm-1152 vietne AnyCAPTCHA.com bija publiski pieejama, tā pieņēma kriptovalūtas maksājumus, izmantojot PayPal un pat piedāvāja atbalsta kanālu.

Šis pakalpojums izmantoja robotus, lai masveidā ievāktu CAPTCHA žetonus, kas tika pārdoti klientiem, kuri pēc tam šos žetonus izmantoja neatbilstošiem mērķiem (piemēram, masveidā veidoja krāpnieciskus Microsoft kontus, lai vēlāk tos izmantotu kiberuzbrukumos) pirms to derīguma termiņa beigām. Mēģinājumi izveidot krāpnieciskus kontus notika tik ātri un efektīvi, ka Arkose Labs komanda secināja, ka grupējums izmanto automatizētu mašīnmācīšanās tehnoloģiju. 

“Kad pārliecinājāmies, cik ātri viņi pielāgojas mūsu mazināšanas pasākumiem, sapratām, ka daudzi viņu uzbrukumi ir balstīti uz mākslīgo intelektu,” sacīja Bofa. “Salīdzinot ar citiem mūsu novērotajiem pretiniekiem, Storm-1152 izmantoja mākslīgo intelektu inovatīvi.” Arkose Labs un Microsoft komandas varēja novērot izmaiņas uzņēmumu taktikā, pielāgojoties pastiprinātajiem atklāšanas un novēršanas pasākumiem.

Sākotnēji Storm-1152 koncentrējās uz pakalpojumu sniegšanu noziedzniekiem, lai apietu citu tehnoloģiju uzņēmumu drošības aizsardzību, un​Microsoft​ bija lielākais upuris. Storm-1152 piedāvāja pakalpojumus,lai apietu​​aizsardzību un izveidotu krāpnieciskus kontus, un pēc tam, kad tika konstatēts atklāšanas fakts, tas piedāvāja jaunu pakalpojumu. Tā vietā, lai sniegtu rīkus, ar kuriem apiet kontu izveides aizsardzības līdzekļus, grupa sāka izmantot savus robotu ievāktos CAPTCHA atteikšanās žetonus, lai izveidotu krāpnieciskus Microsoft kontus tālākai pārdošanai.

“Tas, ko mēs novērojām ar Storm-1152, ir tipiski,” saka Bofa. Katru reizi, kad jūs noķerat kādu draudu izpildītāju, viņi izmēģina ko citu. Turpināt viņus apsteigt ir kā kaķa un peles spēle.”

Tiesvedība pret grupējumu Storm-1152

Kad 2023. gada martā krāpnieciskās darbības sasniedza kulminācijas punktu, Kembrika un Mesa iesaistīja Microsoft Digitālo noziegumu apkarošanas vienību (DCU), lai noskaidrotu, ko vēl varētu darīt.

DCU kā Microsoft ārējais tiesībaizsardzības dienests parasti vajā tikai nopietnākos vai neatlaidīgākos izpildītājus. Tie ir vērsti uz uzņēmējdarbības traucējumiem — uzņēmējdarbības izmaksu palielināšanu —, kuru galvenie instrumenti ir krimināllietas un/vai civilprasības.

Šons Farels (Sean Farrell), Microsoft Digitālo noziegumu apkarošanas vienības (DCU) Kibernoziegumu apkarošanas nodaļas vadošais padomnieks, Džeisons Laionss (Jason Lyons), DCU kibernoziegumu apkarošanas nodaļas izmeklējumu vadītājs, un vecākais kibernoziegumu izmeklētājs Moriss Meisons (Maurice Mason) sanāca kopā, lai turpinātu izmeklēšanu. Viņi sadarbojās ar Microsoft ārējo juridisko konsultantu, lai izstrādātu juridisko stratēģiju, un apkopoja pierādījumus, kas nepieciešami civilprasības iesniegšanai, izmantojot vairāku Microsoft komandu ieskatus un Arkose Labs apkopoto draudu informāciju.

“Līdz brīdim, kad iesaistījās DCU, jau bija paveikts liels darbs,” atceras Laionss. “Identitātes komanda un Arkose Labs jau bija paveikuši ievērojamu darbu, lai identificētu un atspējotu kontus, un, tā kā MSTIC spēja sasaistīt krāpnieciskos kontus ar noteiktiem infrastruktūras līmeņiem, uzskatījām, ka šī būs laba DCU juridiskā lieta.”

Daži no faktoriem, kas veicina to, ka ir vērts ierosināt lietu, ir likumi, kurus var izmantot civillietā, jurisdikcija un uzņēmuma vēlme publiskot personu vārdus.

Laionss salīdzināja šo faktoru izvērtēšanu ar šķirošanas procesu, kurā DCU pārbaudīja faktus un informāciju, lai noteiktu, vai viss ir pamatoti. “Pamatojoties uz to, ko darām, mēs jautājam, vai vēlamies tērēt savu laiku un enerģiju, lai rīkotos,” viņš saka. “Vai ietekme būs tā vērta, lai ieguldītu resursus?” Šajā gadījumā atbilde bija — jā.

Meisonam tika uzdots strādāt pie Storm-1152 kibernoziegumu kā pakalpojuma aktivitāšu attiecinājuma. “Mans uzdevums bija izsekot, kā Storm-1152 pārdeva šos krāpnieciskos kontus citām draudu grupējumiem, un identificēt personas, kas stāv aiz Storm-1152,” skaidro Meisons.

Veicot izmeklēšanu, kas ietvēra padziļinātu sociālo tīklu lapu un maksājumu identifikatoru pārbaudi, Microsoft un Arkose Labs izdevās identificēt personas, kas stāv aiz Storm-1152,— Duong Dinh Tu, Linh Van Nguyễn (zināms arī kā Nguyễn Van Linh) un Tai Van Nguyen.

Viņu konstatējumi liecina, ka šīs personas darbināja un rakstīja kodu nelikumīgām tīmekļa vietnēm, publicēja video apmācības ar detalizētiem pakāpeniskiem norādījumiem par viņu produktu izmantošanu un nodrošināja tērzēšanas pakalpojumus, lai palīdzētu tiem, kuri izmanto viņu krāpnieciskos pakalpojumus. Pēc tam tika izveidoti papildu savienojumi ar grupējuma tehnisko infrastruktūru, ko komanda varēja piesaistīt ASV viesotājiem.

“Viens no iemesliem, kādēļ mēs DCU veicam šādas darbības, ir novērst šo kibernoziedznieku ietekmi. Mēs to darām, iesniedzot prasības tiesā vai kriminālprocesuālos pieteikumus, kas noved pie arestiem un kriminālvajāšanas.”
Šons Farels 
Vadošais juriskonsults, Kibernoziegumu uzraudzības komanda; Microsoft

Raksturojot lēmumu turpināt šo lietu, Farels stāsta: “Šajā gadījumā mums paveicās, pateicoties lieliskajam komandu darbam, kas bija identificējušas izpildītājus, kuri bija izveidojuši infrastruktūru un kriminālus pakalpojumus.

Viens no iemesliem, kādēļ mēs DCU veicam šādas darbības, ir novērst šo kibernoziedznieku ietekmi. Mēs to darām, iesniedzot prasības tiesā vai iesniedzot kriminālprocesuālos pieteikumus, kas noved pie arestiem un kriminālvajāšanas. Manuprāt, tas ir ļoti spēcīgs signāls, ja spējat identificēt izpildītājus un publiski identificēt tos juridiskajos dokumentos Amerikas Savienotajās Valstīs.”​​

Atkal parādās Storm-1152 un sākas otrā tiesvedība​

Lai gan pēc 2023. gada decembra traucējumiem komanda pieredzēja tūlītēju infrastruktūras kritumu, Storm-1152 atkal parādījās, izveidojot jaunu vietni ar nosaukumu RockCAPTCHA un jaunus videoierakstus, lai palīdzētu saviem klientiem. RockCAPTCHA mērķis bija Microsoft, piedāvājot pakalpojumus, kas īpaši izstrādāti, lai mēģinātu pārvarēt Arkose Labs veiktos CAPTCHA drošības pasākumus. Darbība jūlijā ļāva Microsoft pārņemt kontroli pār šo tīmekļa vietni un sniedza vēl vienu triecienu izpildītājiem.

Arkose Kiberdraudu informācijas izpētes vienība (ACTIR) arī pievērsās tam, kā Storm-1152 mēģināja atjaunot savus pakalpojumus. Viņi novēroja, ka grupa izmanto arvien sarežģītāku taktiku, tostarp pastiprināti izmanto mākslīgo intelektu (AI), lai maskētu savu darbību un izvairītos no atklāšanas. Šis pieaugums liecina par izmaiņām, kas notiek apdraudējuma ainavā, un demonstrē uzbrucēju, kuri labi pārzina mākslīgā intelekta tehnoloģijas, progresīvās spējas. 

Viena no galvenajām jomām, kurā Storm-1152 ir integrēts mākslīgais intelekts, ir izvairīšanās metodes. Arkose Labs izmanto mākslīgo intelektu, lai sintētiski ģenerētu cilvēkam līdzīgus parakstus.

Vikas Šetijs (Vikas Shetty) ir Arkose Labs Produktu nodaļas vadītājs un vada tās apdraudējumu izpētes vienību ACTIR. “Mākslīgā intelekta modeļu izmantošana ļauj uzbrucējiem apmācīt sistēmas ar cilvēkam līdzīgām pazīmēm, kuras pēc tam var masveidā izmantot uzbrukumiem,” teica Šetijs. “Šo pazīmju sarežģītība un daudzveidība apgrūtina tradicionālo atklāšanas metožu izmantošanu.”

Turklāt Arkose Labs novēroja, ka Storm-1152 mēģina pieņemt darbā mākslīgā intelekta inženierus, tostarp maģistrantūras studentus, doktorantūras kandidātus un pat profesorus tādās valstīs kā Vjetnama un Ķīna.

“Šīm personām tiek maksāts, lai izstrādātu progresīvus mākslīgā intelekta modeļus, kas spēj apiet sarežģītus drošības pasākumus. Šo mākslīgā intelekta inženieru zināšanas nodrošina, ka modeļi ir ne tikai efektīvi, bet arī pielāgojami mainīgajiem drošības protokoliem,” teica Šetijs.

Lai būtiski traucētu kibernoziedznieku operācijām, ir svarīgi saglabāt neatlaidību, kā arī sekot līdzi tam, kā kibernoziedznieki darbojas un izmanto jaunās tehnoloģijas.

“Mums jāturpina būt neatlaidīgiem un jārīkojas tā, lai noziedzniekiem būtu grūtāk pelnīt naudu,” sacīja Farels. “Tāpēc mēs iesniedzām otru prasību, lai pārņemtu kontroli pār šo jauno domēnu. Mums ir jādod signāls, ka nepieļausim darbības, kuru mērķis ir kaitēt mūsu klientiem un privātpersonām tiešsaistē.”

Apgūtās zināšanas un nākotnes tendences

Pārdomājot Storm-1152 izmeklēšanas un traucējumu rezultātu, Farels norāda, ka šī lieta ir svarīga ne tikai tāpēc, ka tā ietekmē mūs un citus skartos uzņēmumus, bet arī tāpēc, ka Microsoft cenšas palielināt šo operāciju ietekmi, jo tās ir daļa no kopējās kibernoziegumu kā pakalpojuma ekosistēmas.

Spēcīgs vēstījums sabiedrībai

“Pierādot, ka mēs varam tik efektīvi izmantot juridiskās sviras, ko esam izmantojuši ļaunprogrammatūru uzbrukumiem un nacionālajām operācijām, mēs ievērojami mazinājām vai novērsām izpildītāju darbības, kas pēc mūsu prasības iesniegšanas uz ilgu laiku bija samazinājušās gandrīz līdz nullei,” saka Farels. “Domāju, ka mēs pārliecinājāmies, ka var panākt reālu preventīvu ietekmi, un ir svarīgi, kādu vēstījumu sabiedrība no tā gūst — ne tikai ietekmes, bet arī tiešsaistes kopienas labā.”

Jauni piekļuves vektori identitātes jomā

Vēl viens svarīgs novērojums ir tas, ka draudu izpildītāji vairs nemēģina apdraudēt galapunktus, bet gan cenšas uzlauzt identitātes.  Lielākajā daļā izspiedējprogrammatūras uzbrukumu redzam, ka sākotnējā uzbrukuma vektors ir nozagtas vai apdraudētas identitātes.
“Šī tendence rāda, ka identitāte kļūs par sākotnējo piekļuves vektoru gaidāmajiem incidentiem,” saka Meisons. “CISO, iespējams, vēlēsies nopietnāk pievērsties identitātei, modelējot savas organizācijas,— vispirms vairāk koncentrēties uz identitāti, pēc tam pāriet uz galapunktiem.”

Nepārtrauktas inovācijas ir būtiskas

Grupējuma Storm-1152 un tā mākslīgā intelekta radīto stratēģiju atkārtota parādīšanās liecina par to, ka kiberdraudu raksturs mainās. To sarežģītā mākslīgā intelekta izmantošana gan izvairīšanās, gan izaicinājumu risināšanas nolūkos rada ievērojamus izaicinājumus tradicionālajiem drošības mērījumiem. Lai apsteigtu šos apdraudējumus, organizācijām ir jāpielāgojas, ieviešot progresīvas uz mākslīgo intelektu balstītas atklāšanas un mazināšanas metodes.
“Storm-1152 gadījums iezīmē, ka kiberdrošības jomā nepārtraukti ir nepieciešamas inovācijas, lai stātos pretī izsmalcinātai taktikai, ko izmanto mākslīgā intelekta uzbrucēji,” saka Šetijs. “Tā kā šie grupējumi turpina attīstīties, arī aizsardzības līdzekļiem ir jāattīstās.”

Mēs zinām, ka nākotnē turpināsim saskarties ar jauniem drošības izaicinājumiem, taču esam optimistiski noskaņoti par to, ko esam guvuši no šīs darbības. Kā aizstāvju kopienas biedrs zinām, ka kopā strādājam labāk, lai kalpotu kopējam labumam, un ka pastāvīga publiskā un privātā sektora sadarbība joprojām ir būtiska, saskaroties ar kibernoziedzību.

Farels saka: “Šīs akcijas ietvaros īstenotā sadarbība starp komandām, apvienojot draudu informācijas, identitātes aizsardzības, izmeklēšanas, atribūcijas, juridisko darbību un ārējo partnerību centienus, ir paraugs tam, kā mums vajadzētu darboties.”

Saistītie raksti

Kibernoziegumu vārtejas pakalpojumu iznīcināšana

Korporācija Microsoft ar draudu informācijas atbalstu no Arkose Labs veic tehniskus un juridiskus pasākumus, lai iznīcinātu lielāko krāpniecisku Microsoft kontu pārdevēju un veidotāju — grupējumu, ko dēvējam par Storm-1152. Mēs vērojam, iegūstam informāciju un rīkosimies, lai aizsargātu savus klientus.
Papildinformācija

Microsoft, Amazon un starptautiskās tiesībaizsardzības iestādes apvienojas cīņā pret viltus tehniskā atbalsta dienestiem

Uzziniet, kā Microsoft un Amazon pirmo reizi apvienoja spēkus, lai izbeigtu nelikumīgus tehniskā atbalsta zvanu centrus Indijā.
Papildinformācija

Cīņā pret hakeriem, kas kavēja slimnīcu darbu un apdraudēja dzīvības

Uzziniet, kā patiesībā notika Microsoft, programmatūras izstrādātāja Fortra un Health-ISAC sadarbība, lai apturētu uzlauztos Cobalt Strike serverus un apgrūtinātu kibernoziedznieku darbību.
Papildinformācija

Sekot Microsoft drošībai