Frimodig handling mot svindel: Forstyrring av Storm-1152

I februar 2023 observerte Matthew Mesa, senior sikkerhetsforsker i Microsofts Threat Intelligence Center (MSTIC), et økende mønster av Microsoft Outlook-kontoer som ble brukt i massephishingkampanjer. I sin rolle analyserer Mesa e-postkampanjer, og ser etter mistenkelig aktivitet. Da han fortsatte å se en økning i bruken av uredelige kontoer, spurte han seg selv: "kan alle disse kontoene være relatert til hverandre?"

Han opprettet umiddelbart en ny trusselaktørprofil, Storm-1152, og begynte å spore aktiviteten og flagget funnene sine til Microsofts identitetsteam. Shinesa Cambric, hovedproduktsjef for Microsofts anti-misbruk og svindelforsvarsteam, hadde også sporet denne ondsinnede aktiviteten og hadde lagt merke til en økning av automatiserte kontoer (eller bots) som forsøkte å overvinne CAPTCHA-utfordringene som ble brukt for å beskytte registreringsprosessen for Microsoft-forbrukere tjenester.​

"Teamet mitt fokuserer både på forbrukeropplevelsen vår så vel som vår bedriftsopplevelse, noe som betyr at vi beskytter milliarder av kontoer hver dag mot svindel og misbruk," forklarer Cambric. “Vår rolle er å forstå trusselaktørens metodologier slik at vi kan omgå angrep og forhindre tilgang til systemene våre. Vi tenker alltid på forebygging – på hvordan vi kan stoppe skadelige aktører ved inngangsdøren.”

Det som fanget oppmerksomheten hennes var det stadig voksende nivået av svindel som var relatert til denne aktiviteten. Da flere parter – Microsoft-partnere så vel som deler av forsyningskjeden vår – tok kontakt for å rapportere skaden som følge av disse bot-skapte Microsoft-kontoene, gikk Cambric i gang.

Sammen med cybersikkerhetsforsvaret og leverandøren av botadministrasjon Arkose Labs, jobbet Cambrics team for å identifisere og deaktivere gruppens falske kontoer, og delte detaljer om arbeidet deres med trusseletterretningskolleger i Microsofts MSTIC og Arkose Cyber ​​Threat Intelligence Research-enhet (ACTIR).

"Til å begynne med var vår rolle å beskytte Microsoft mot ondsinnet kontooppretting," forklarer Arkose Labs Chief Customer Officer Patrice Boffa, "Men når Storm-1152 ble identifisert som en gruppe, begynte vi også å samle inn mye av trusselinformasjonen."

Da den uredelige aktiviteten nådde et kokepunkt i mars 2023, engasjerte Cambric og Mesa Microsofts Digital Crimes Unit (DCU) for å se hva mer som kunne gjøres.

Som Microsofts eksterne håndhevingsarm forfølger DCU vanligvis bare de mest seriøse eller vedvarende aktørene. Den fokuserer på forstyrrelser som øker kostnadene ved å gjøre forretninger – slik som kriminelle henvisninger og/eller sivile søksmål er primære verktøy for.

Sean Farrell, Lead Counsel for Cybercrime Enforcement-teamet i Microsofts DCU, Jason Lyons, Principal Manager of Investigations i DCU Cybercrime Enforcement Team hos Microsoft og senior cyber-etterforsker Maurice Mason gikk sammen for å undersøke videre. De koordinerte med Microsofts eksterne rådgivere for å utforme en juridisk strategi og samlet bevisene som kreves for å inngi et sivilt søksmål, og hentet innsikt fra flere team på tvers av Microsoft og trusseletterretningen Arkose Labs samlet inn.

"Mye av jobben var allerede gjort da DCU ble involvert," minnes Lyons. "Identity-teamet og Arkose Labs hadde allerede gjort betydelig arbeid med å identifisere og deaktivere kontoer, og fordi MSTIC var i stand til å koble de falske kontoene til visse nivåer av infrastruktur, trodde vi at dette ville være en god DCU-rettssak."

Noen av faktorene som bidrar til dannelsen av en sak som er verdt å forfølge inkluderer å ha lover som kan brukes i et sivilt søksmål, ha jurisdiksjon og selskapets vilje til å offentlig navngi enkeltpersoner.

Lyons sammenlignet vurderingen av disse faktorene med en triage-prosess, der DCU undersøkte fakta og informasjon for å hjelpe det å avgjøre om alt utgjorde en god sak. "Basert på hva vi gjør, spør vi om vi vil bruke tid og energi på å iverksette tiltak," sier han. “Vil virkningen være verdt resurssene vi må benytte her?” Svaret i denne saken var ja.

Mason fikk i oppgave å jobbe med å tilskrive Storm-1152s nettkriminalitet som en tjeneste aktiviteter. "Min rolle var å spore hvordan Storm-1152 solgte disse uredelige kontoene til andre trusselaktørgrupper og identifisere personene bak Storm-1152," forklarer Mason.

Gjennom deres etterforskningsarbeid, som inkluderte en dyp gjennomgang av sosiale medier-sider og betalingsidentifikatorer, var Microsoft og Arkose Labs i stand til å identifisere personene bak Storm-1152 — Duong Dinh Tu, Linh Van Nguyễn (også kjent som Nguyễn Van Linh), og Tai Van Nguyen.

Funnene våre viser at disse enkeltpersonene drev og skrev koden for de ulovlige nettstedene, publiserte trinnvise instruksjoner for hvordan produktene skulle brukes via videoopplæringer, og leverte chattjenester for å hjelpe de som brukte de uredelige tjenestene. Ytterligere forbindelser ble deretter opprettet til gruppens tekniske infrastruktur, som teamet var i stand til å identifisere til USA-baserte verter.

Farrell beskriver beslutningen om å gå videre med saken: «Her var vi heldige på grunn av det store arbeidet til teamene, som hadde identifisert aktørene som hadde satt opp infrastrukturen og de kriminelle tjenestene.

En av grunnene til at vi forfølger disse handlingene i DCU er å avskrekke virkningen av disse nettkriminelle. Vi gjør dette ved å reise søksmål eller ved å gi kriminelle henvisninger som fører til arrestasjoner og rettsforfølgelse. Jeg tror det sender et veldig sterkt budskap når du er i stand til å identifisere skuespillerne og identifisere dem offentlig i rettslige prosesser i USA.”​​

Farrell reflekterer over resultatet av Storm-1152-etterforskningen og avbruddet, og bemerker at saken er viktig ikke bare på grunn av dens innvirkning på oss og de andre berørte selskapene, men på grunn av Microsofts innsats for å skalere virkningen av disse operasjonene, som er en del av det samlede økosystemet for nettkriminalitet som en tjeneste.