Drzen ukrep proti goljufijam: Preprečevanje Storm-1152

V februarju 2023 je Matthew Mesa, višji varnostni raziskovalec v Microsoftovem središču za obveščanje o grožnjah (MSTIC), opazil naraščajoč vzorec računov v Microsoft Outlooku, ki se uporabljajo v kampanjah množičnega lažnega predstavljanja. V svoji vlogi Mesa analizira e-poštne kampanje in išče sumljive dejavnosti. Ker je ves čas opažal naraščanje uporabe goljufivih računov, se je vprašal: "Ali so lahko vsi ti računi med seboj povezani?"

Takoj je ustvaril nov profil akterja grožnje, pri Storm-1152, in začel slediti njihovi dejavnosti ter svoje ugotovitve sporočil Microsoftovi skupini za identifikacijo. Shinesa Cambric, glavna produktna vodja Microsoftove ekipe za zaščito pred zlorabami in goljufijami, je prav tako spremljala to zlonamerno dejavnost in opazila povečanje števila avtomatiziranih računov (botov), ​​ki poskušajo premagati izzive CAPTCHA, ki se uporabljajo za zaščito postopka prijave potrošnikov v Microsoftove storitve.​​

„Moja ekipa se osredotoča tako na našo potrošniško izkušnjo kot tudi na izkušnjo našega podjetja, kar pomeni, da vsak dan ščitimo milijarde računov pred goljufijami in zlorabami,« pojasnjuje Cambric. „Naša vloga je razumeti metodologije akterjev groženj, da se lahko izognemo napadom in preprečimo dostop do naših sistemov. Vedno razmišljamo o preprečevanju – o tem, kako lahko slabe akterje ustavimo že pri vhodnih vratih.“

Njeno pozornost je pritegnila naraščajoča stopnja goljufij, povezanih s to dejavnostjo. Ko je več strank – Microsoftovih partnerjev in delov naše dobavne verige – prijavilo škodo, ki je nastala zaradi Microsoftovih računov, ki so jih ustvarili boti, je Cambric ukrepala.

Skupaj s ponudnikom obrambe in upravljanja kibernetske varnosti Arkose Labs je ekipa gospe Cambric delala na identifikaciji in onemogočanju goljufivih računov skupine ter delila podrobnosti o svojem delu s kolegi za obveščanje o grožnjah v Microsoftovem MSTIC in raziskovalno enoto Arkose Cyber ​za obveščanje o grožnjah in raziskovanje (ACTIR).

„Na začetku je bila naša vloga zaščititi Microsoft pred zlonamernim ustvarjanjem računov,“ pojasnjuje Patrice Boffa, glavni vodja strank Arkose Labs, „ko pa je bil Storm-1152 prepoznan kot skupina, smo začeli zbirati tudi veliko informacij o kibernetskih grožnjah.“

Ko je goljufiva dejavnost marca 2023 dosegla vrelišče, sta Cambric in Mesa angažirala Microsoftovo enoto za digitalne zločine (DCU), da bi ugotovila, kaj bi še lahko storili.

DCU kot Microsoftov zunanji izvršilni organ običajno preganja samo najresnejše ali vztrajne akterje. Osredotoča se na prekinitve – zvišanje stroškov poslovanja – za kar so kazenske ovadbe in/ali civilne tožbe glavno orodje.

Sean Farrell, vodilni svetovalec ekipe za boj proti kibernetski kriminaliteti v Microsoftovem DCU, Jason Lyons, glavni vodja preiskav v ekipi za boj proti kibernetskemu kriminalu v DCU pri Microsoftu, in višji preiskovalec kibernetske kriminalitete Maurice Mason so se zbrali, da bi nadaljevali preiskavo. Usklajevali so se z Microsoftovim zunanjim svetovalcem, da bi oblikovali pravno strategijo in zbrali dokaze, potrebne za vložitev civilne tožbe, pri čemer so črpali iz dognanj več ekip v Microsoftu in informacij o kibernetskih grožnjah, ki so jih zbirali v Arkose Labs.

„Veliko dela je bilo že opravljenega, ko se je vključil DCU,“ se spominja Lyons. „Ekipa Identity in Arkose Labs sta že opravila veliko dela pri prepoznavanju in onemogočanju računov, in ker je MSTIC uspel povezati goljufive račune z določenimi ravnmi infrastrukture, smo menili, da bi bil to dober pravni primer za DCU.“

Nekateri dejavniki, ki prispevajo k oblikovanju primera, vrednega pregona, vključujejo zakone, ki jih je mogoče uporabiti v civilni tožbi, pristojnost in pripravljenost podjetja, da javno imenuje posameznike.

Lyons je primerjal upoštevanje teh dejavnikov s triažnim postopkom, kjer je DCU preučil dejstva in informacije, da bi lahko ugotovil, ali gre za dober primer. „Glede na to, kar počnemo, se sprašujemo, ali želimo svoj čas in energijo porabiti za ukrepanje,“ pravi. „Ali bo učinek vreden sredstev, ki jih moramo vložiti?“ V tem primeru je bil odgovor da.

Mason je bil zadolžen za delo na pripisovanju dejavnosti kibernetskega kriminala kot storitve skupini Storm-1152. „Moja vloga je bila slediti, kako je skupina Storm-1152 prodala te goljufive račune drugim skupinam akterjev groženj, in identificirati posameznike, ki stojijo za Storm-1152,“ pojasnjuje Mason.

S svojim preiskovalnim delom, ki je vključevalo temeljit pregled strani družbenih medijev in identifikatorjev plačil, sta Microsoft in Arkose Labs uspela identificirati posameznike, ki stojijo za Storm-1152 — Duong Dinh Tu, Linh Van Nguyễn (znan tudi kot Nguyễn Van Linh) in Tai Van Nguyen.

Njihove ugotovitve kažejo, da so ti posamezniki upravljali in pisali kodo za nezakonita spletna mesta, objavljali podrobna navodila po korakih za uporabo njihovih izdelkov v obliki video učnih gradiv ter zagotavljali storitve klepeta za pomoč tistim, ki so uporabljali njihove goljufive spletne strani. Nato so bile vzpostavljene dodatne povezave s tehnično infrastrukturo skupine, ki jo je ekipi uspelo natančno določiti pri gostiteljih v ZDA.

Farrell opisuje odločitev o nadaljevanju primera: „Tukaj smo imeli srečo zaradi odličnega dela ekip, ki so identificirale akterje, ki so vzpostavili infrastrukturo in kriminalne storitve.

Eden od razlogov, zakaj v DCU izvajamo te ukrepe, je odvrniti vpliv teh kibernetskih kriminalcev. To počnemo z vlaganjem tožb ali posredovanjem kazenskih ovadb, ki vodijo do aretacij in pregona. Mislim, da pošlje zelo močno sporočilo, ko uspeš identificirati akterje in jih javno identificirati v pravnih vlogah v Združenih državah.“​​

Ko razmišlja o izidu preiskave Storm-1152 in prekinitev, Farrell ugotavlja, da primer ni pomemben samo zaradi vpliva na nas in druga prizadeta podjetja, temveč tudi zaradi Microsoftovih prizadevanj za povečanje vpliva teh operacij, ki so del celotnega ekosistema kibernetske kriminalitete kot storitve.