Trace Id is missing
Преминаване към основното съдържание
Security Insider

Дръзко действие срещу измамата: Разрушаване на Storm-1152

Споделяне
Цветен набор от кръгове с различни икони.

Общ преглед

През март 2023 г. основен клиент на Microsoft претърпя поредица от кибератаки с нежелана поща, причиняващи прекъсвания в системата на клиента.

Причината? Поредица от измамно създадени акаунти в Microsoft Outlook и Hotmail, които се стремят да се възползват от предимствата на услугите на клиента, предоставяни като тестови изпитания на потенциални потребители, въпреки че тези фалшиви акаунти не са имали намерение някога да плащат за тези услуги. В резултат на това клиентът блокира всички нови регистрации на акаунти от адреси на Microsoft Outlook и Hotmail.

Това, което всъщност стоеше зад тази атака, беше по-голяма измамна инициатива, базирана във Виетнам – група, която Microsoft нарича Storm-1152.

Storm-1152 управляваше незаконни уебсайтове и страници в социалните медии, като продаваше фалшиви акаунти на Microsoft и инструменти за заобикаляне на софтуера за проверка на самоличността в добре познати технологични платформи. Услугите на Storm-1152 действат като портал за киберпрестъпността, като намаляват времето и усилията, необходими на престъпниците да извършат множество престъпления и злоупотреби онлайн. Общо групата е създала за продажба приблизително 750 милиона фалшиви акаунта на Microsoft, което носи на групата милиони долари незаконни приходи и струва на компаниите още повече за борба с престъпната им дейност.

Оказва се, че множество групи са използвали акаунти на Storm-1152, за да участват в рансъмуер, кражба на данни и изнудване, включително​ Octo Tempest, Storm-0252, Storm-0455и други. Бизнесът с продажби на акаунти я направи един от най-големите онлайн доставчици на киберпрестъпления като услуга.

Microsoft следи възходът на тази злонамерена дейност от 2022 г. насам, като увеличава използването на алгоритми за машинно обучение за предотвратяване и откриване на наблюдавани модели за създаването на тези измамни акаунти. Пролетта на 2023 г. обаче отбеляза повратна точка поради ескалиращата злоупотреба с Microsoft и партньорските платформи. Необходими бяха по-агресивни действия и беше сформиран многофункционален екип между Microsoft и нашия партньор Arkose Labs.

Непосредствено след действието наблюдавахме приблизително 60% намаление на трафика при регистрация. Това намаление съответства на 60% или повече от регистрациите, които нашите алгоритми или партньори по-късно идентифицираха като злоупотреба, и които впоследствие преустановихме от услугите на Microsoft. 

Координираните усилия доведоха до предприемането от страна на Отдела за дигитални престъпления (DCU) на Microsoft на първия съдебен иск през декември 2023 г. за спиране и затваряне на сайтовете, които Storm-1152 използва, за да продава услугите си. Непосредствено след действието наблюдавахме приблизително 60% намаление на трафика при регистрация. Това намаление съответства на 60% или повече от регистрациите, които нашите алгоритми или партньори по-късно идентифицираха като злоупотреба, и които впоследствие преустановихме от услугите на Microsoft.​ На 23 юли заведохме втори граждански иск за прекъсване на нова инфраструктура, която групата се опита да създаде след съдебното ни дело от декември.

Този доклад за възникващи заплахи отива зад кулисите на това как се е случило действието и подчертава важността на сътрудничеството в цялата индустрия за преследване на киберзаплахи. Случаят е пример за това как индустрията може да използва законни канали, за да помогне за възпирането на други групи и да запази безопасността на хората онлайн.​ Той също така говори за важността на продължаващите смущения и как съдебните действия остават ефективен метод срещу киберпрестъпниците, дори когато променят тактиката си. В края на краищата никоя операция не е свършена завинаги.

Откриването и идентифицирането на Storm-1152

През февруари 2023 г. Матю Меса, старши изследовател по сигурността в центъра за разузнаване за заплахи на Microsoft (MSTIC), наблюдава нарастващ модел на акаунти в Microsoft Outlook, използвани в масови фишинг кампании. В ролята си Mesa анализира имейл кампании и търси подозрителна дейност. Докато продължава да вижда нарастване на използването на измамни акаунти, той се запитва: „може ли всички тези акаунти да са свързани един с друг?“

Той незабавно създава нов профил на извършител, представляващ заплаха, Storm-1152, и започва да проследява дейността му и съобщава за откритията си на екипа за самоличности на Microsoft. Шинеса Камбрик, главен продуктов мениджър на екипа за защита срещу злоупотреби и измами на Microsoft също проследява тази злонамерена дейност и забелязва увеличаване на автоматизираните акаунти (ботове), опитващи се да преодолеят CAPTCHA предизвикателствата, използвани за защита на процеса на регистрация за потребителите на услугите на Microsoft.​​

„Екипът ми се фокусира както върху нашата потребителска среда, така и върху нашата корпоративна среда, което означава, че защитаваме милиарди акаунти всеки ден от измами и злоупотреби“, обяснява Камбрик. „Нашата роля е да разберем методологиите на извършителите, представляващи заплаха, за да можем да заобиколим атаките и да предотвратим достъпа до нашите системи. Винаги мислим за превенцията – за това как можем да спрем лошите извършители на заплахи на входната врата.“

Това, което привлича вниманието й, е нарастващото ниво на измами, свързани с дейността. Когато множество страни — партньори на Microsoft, както и части от нашата верига за доставки — се свързват, за да докладват за вредата, произтичаща от тези създадени от бот акаунти в Microsoft, Камбрик влиза в действие.

Заедно с доставчика на защита на киберсигурността и управление на ботове Arkose Labs, екипът на Камбрик работи, за да идентифицира и деактивира измамните акаунти на групата, и споделя подробности за работата си с колегите си от разузнаването за заплахи в MSTIC на Microsoft и с отдела за проучване на разузнаването на киберзаплахи на Arkose (ACTIR).

„Нашата роля е да разберем методологиите на извършителите, представляващи заплаха, за да можем да заобиколим атаките и да предотвратим достъпа до нашите системи. Винаги мислим за превенцията – за това как можем да спрем лошите извършители на заплахи на входната врата.“ 
Шинеса Камбрик 
Главен продуктов мениджър, екип за защита срещу злоупотреби и измами, Microsoft 

„Първоначално нашата роля беше да защитим Microsoft от създаване на злонамерени акаунти“ – обяснява главният директор на клиенти на Arkose Labs Патрис Бофа, – „Но след като Storm-1152 беше идентифицирана като група, ние също започнахме да събираме голяма част от информацията за заплахите.“

Разбиране на Storm-1152

Като финансово мотивирана група в процес на разработка, Storm-1152 се открои като необичайно добре организирана и професионална със своите предложения за киберпрестъпления като услуга (CaaS). Работейки като законна компания, Storm-1152 пусна своята незаконна услуга за решаване на CAPTCHA посред бял ден.

„Ако не знаете, че това е злонамерена организация, можете да я сравните с всяка друга компания за SaaS компания“ 
Патрис Бофа
Главен директор на клиенти, Arkose Labs

„Ако не знаете, че това е злонамерена организация, можете да я сравните с всяка друга компания за SaaS компания“ – казва Бофа и добавя, че AnyCAPTCHA.com на Storm-1152 има публичен уебсайт, приема плащания в криптовалута през PayPal и дори предлага канал за поддръжка.

Тази услуга използва ботове за групово събиране на CAPTCHA маркери, които се продават на клиенти, които след това използват маркерите за неправомерни цели (като групово създаване на измамни акаунти в Microsoft за по-късна употреба при кибератаки), преди да им изтече срока. Опитите за създаване на измамни акаунти се случват с такава бързина и ефективност, че екипът на Arkose Labs прави заключение, че групата използва автоматизирана технология за машинно обучение. 

„Когато изпитахме скоростта на тяхното адаптиране към нашите усилия за смекчаване, разбрахме, че много от техните атаки са базирани на ИИ“, казва Бофа. „В сравнение с други противници, които сме виждали, Storm-1152 използва ИИ по новаторски начини.“ Екипите на Arkose Labs и Microsoft успяват да наблюдават промяна в бизнес тактиката като начин за адаптиране към увеличените усилия за откриване и превенция.

Първоначално Storm-1152 се фокусира върху предоставянето на услуги за престъпници за заобикаляне на защитите на сигурността за други технологични компании, като​Microsoft​ е най-голямата жертва. Storm-1152 предлага услуги за заобикаляне на​​​ защитите, за да се създадат измамни акаунти, а след това предлага нова услуга, след като усеща, че е разкрита. Вместо да предостави инструменти за заобикаляне на защитата при създаване на акаунт, групата се обръща, като използва свои собствени маркери, събрани от ботове, побеждаващи CAPTCHA, за създаване на измамни акаунти в Microsoft за препродажба.

„Това, което наблюдавахме при Storm-1152, е типично“ – казва Бофа. Всеки път, когато хванете извършител, представляващ заплаха, той опитва нещо друго. Да останеш пред тях е игра на котка и мишка.”

Изграждане на съдебно дело срещу Storm-1152

Когато измамната дейност достига точката на кипене през март 2023 г., Камбрик и Меса ангажират отдела за цифрови престъпления (DCU) на Microsoft, за да видят какво още може да се направи.

Като външно защитно звено на Microsoft, DCU обикновено преследва само най-сериозните или упорити извършители на заплахи. Фокусира се върху прекъсването – повишаване на разходите за правене на бизнес, – за което наказателните препратки и/или гражданските дела са основни инструменти.

Шон Фарел, водещ съветник на екипа за защита от киберпрестъпления в DCU на Microsoft, Джейсън Лайънс, главен мениджър на разследванията в екипа за защита от киберпрестъпления на DCU в Microsoft, и старши киберследовател Морис Мейсън се събират, за да продължат разследването. Те се координират с външния съветник на Microsoft, за да разработят правна стратегия и да съберат доказателствата, необходими за завеждане на граждански иск, черпейки информация от множество екипи в Microsoft и от разузнаването за заплахи, събирано от Arkose Labs.

„Много работа вече беше свършена, когато DCU се включи“ – спомня си Лайънс. „Екипът за самоличности и Arkose Labs вече бяха свършили значителна работа по идентифицирането и деактивирането на акаунти, и тъй като MSTIC успя да свърже измамните акаунти с определени нива на инфраструктура, решихме, че това ще бъде добър правен случай на DCU.“

Някои от факторите, които допринасят за образуването на дело, което си заслужава да бъде преследвано, включват наличието на закони, които могат да се използват в граждански искове, наличието на юрисдикция и желанието на компанията да назове лица публично.

Лайънс оприличава разглеждането на тези фактори на процес на сортиране, при който DCU изследва фактите и информацията, за да му помогне да определи дали всичко това ще се превърне в успешно дело. „Въз основа на това, което правим, се запитваме дали искаме да изразходваме времето и енергията си, за да предприемем действия“ – казва той. „Ще си струва ли крайният резултат ресурсите, които трябва да вложим там?“ Отговорът в този случай беше „да“.

Мейсън е натоварен със задачата да работи по отбелязването на дейностите на Storm-1152 за киберпрестъпления като услуга. „Моята роля беше да проследя как Storm-1152 продава тези измамни акаунти на други групи, представляващи заплаха,и да идентифицирам лицата зад Storm-1152“ – обяснява Мейсън.

Чрез тяхната разследваща работа, която включва задълбочен преглед на страниците в социалните медии и идентификаторите за плащане, Microsoft и Arkose Labs успяват да идентифицират лицата зад Storm-1152 – Донг Дин Ту, Лин Ван Нгуен (известен също като Нгуен Ван Лин) и Тай Ван Нгуен.

Техните открития показват, че тези лица са управлявали и писали кода на незаконните уебсайтове, публикували са подробни инструкции стъпка по стъпка за това как да се използват техните продукти чрез видеоуроци и са предоставяли чат услуги, за да помагат на тези, които използват техните измамнически услуги. След това бяха направени допълнителни връзки към техническата инфраструктура на групата, които екипът успя да определи с базирани в САЩ хостове.

„Една от причините да предприемем тези действия в DCU е да възпрем въздействието на тези киберпрестъпници. Ние правим това, като завеждаме съдебни дела или като предоставяме препратки към престъпници, които водят до арести и наказателни преследвания.“
Шон Фарел 
Водещ съветник, екип за защита от киберпрестъпления, Microsoft

Описвайки решението да продължат със случая, Фарел казва: „Тук имахме късмет поради страхотната работа на екипите, които идентифицираха участниците, които бяха създали инфраструктурата и криминалните услуги.

Една от причините да предприемем тези действия в DCU е да възпрем въздействието на тези киберпрестъпници. Ние правим това, като завеждаме съдебни дела или като предоставяме препратки към престъпници, които водят до арести и наказателни преследвания. Мисля, че това изпраща много силно послание, когато сте в състояние да идентифицирате участниците и да ги посочите публично в съдебни дела в Съединените щати.“​​

Storm-1152 се появява отново и втори правен иск​

Въпреки че екипът забеляза незабавен спад в инфраструктурата след прекъсването през декември 2023 г., Storm-1152 се появява отново, стартирайки нов сайт, наречен RockCAPTCHA, и с нови видеоклипове с инструкции, които да помогнат на клиентите им. RockCAPTCHA се насочва към Microsoft, като предлага услуги, специално предназначени да се опитат да преодолеят мерките за сигурност на CAPTCHA на Arkose Labs. Действието от юли позволи на Microsoft да поеме контрола над този уебсайт и да нанесе нов удар на извършителите на заплахи.

Отделът за проучване на разузнаването на киберзаплахи на Arkose (ACTIR) също разглежда по-отблизо как Storm-1152 се опитва да възстанови услугите си. Те наблюдават как групата използва по-сложни тактики, включително засилване на използването на изкуствен интелект (ИИ), за да скрие дейността си и да избегне откриване. Това повторно появяване е показателно за промените, настъпващи в пейзажа на заплахите, и демонстрира напредналите възможности на атакуващите, добре запознати с технологиите на ИИ. 

Една от основните области, в които Storm-1152 интегрира ИИ, са техниките за избягване. Arkose Labs са виждали групата да използва ИИ за синтетично генериране на човешки подписи.

Викас Шети е продуктов ръководител за Arkose Labs и ръководи отдела за проучване на заплахи, ACTIR. „Използването на модели на ИИ позволява на атакуващите да обучават системи, които излъчват тези човешки подписи, които след това могат да бъдат използвани в мащаб за атаки“ – казва Шети. „Сложността и разнообразието на тези подписи затрудняват поддържането на традиционните методи за откриване.“

Освен това Arkose Labs забеляза Storm-1152 да се опитва да наема инженери на ИИ, включително магистри, докторанти и дори професори в страни като Виетнам и Китай.

„На тези хора се плаща да разработват усъвършенствани модели на ИИ, които могат да заобиколят сложните мерки за сигурност. Експертният опит на тези инженери на ИИ гарантира, че моделите са не само ефективни, но и адаптивни към развиващите се протоколи за сигурност“ – казва Шети.

Постоянството е от ключово значение за смисленото прекъсване на операциите на киберпрестъпниците, както и проследяването на това как киберпрестъпниците работят и използват нови технологии.

„Трябва да продължим да бъдем упорити и да предприемаме действия, които затрудняват престъпниците да правят пари“ – казва Фарел. „Ето защо подадохме втори иск, за да поемем контрола върху този нов домейн. Трябва да изпратим съобщение, че няма да толерираме дейност, която цели да навреди на нашите клиенти и физически лица онлайн.“

Научени поуки и бъдещи последици

Разсъждавайки върху резултата от разследването и прекъсването на Storm-1152, Фарел отбелязва, че случаят е важен не само заради въздействието му върху нас и другите засегнати компании, но и поради усилията на Microsoft да мащабира въздействието на тези операции, които са част от цялостната екосистема на киберпрестъпността като услуга.

Силно послание към обществеността

„Показването, че можем да приложим правните лостове, които използвахме толкова ефективно за атаките със злонамерен софтуер и операциите на национална държава, доведе до значително смекчаване или коригиране на дейността на престъпниците, която спадна почти до нула за известно време, след като започнахме съдебното дело“ – казва Фарел. „Мисля, че от това видяхме, че може да има истинско възпиране и посланието, което обществеността извлича от това, е важно – не само за въздействието, но и за доброто на онлайн общността.“

Нови вектори за достъп в самоличността

Друго важно наблюдение е общата промяна на извършителите на заплахи, които се опитват да компрометират крайни точки, но по-скоро преследват самоличности.  Виждаме при повечето атаки с рансъмуер, че извършителите на заплахи използват откраднати или компрометирани самоличности като свой първоначален вектор на атака.
„Тази тенденция показва как самоличността ще поеме ролята на първоначален вектор за достъп за предстоящи инциденти“ – казва Мейсън. „CISO може да поискат да заемат по-сериозна позиция по отношение на идентичността, когато моделират своите организации – фокусирайте се първо върху страната на самоличността, след това преминете към крайните точки.“

Постоянните иновации са от съществено значение

Повторната поява на Storm-1152 и нейните вдъхновени от ИИ стратегии подчертават развиващия се характер на киберзаплахите. Тяхното усъвършенствано използване на ИИ както за избягване, така и за решаване на предизвикателства поставя значителни предизвикателства за традиционните мерки за сигурност. Организациите трябва да се адаптират чрез включване на усъвършенствани техники за откриване и смекчаване, управлявани от ИИ, за да изпреварят тези заплахи.
„Случаят на Storm-1152 подчертава критичната необходимост от постоянни иновации в киберсигурността, за да се противодейства на усъвършенстваните тактики, използвани от атакуващите с умения в ИИ“ – казва Шети. „Тъй като тези групи продължават да се развиват, трябва да се развиват и защитите, предназначени да предпазват от тях.“

Знаем, че ще продължим да се сблъскваме с нови предизвикателства пред сигурността в бъдеще, но сме оптимисти за това, което научихме от това действие. Като член на общността на защитниците, ние знаем, че работим по-добре заедно в служба на общото благо, и че продължаващото сътрудничество между публичния и частния сектор остава от съществено значение пред лицето на киберпрестъпността.

Фарел казва: „Сътрудничеството между екипите за това действие – комбиниране на усилията за разузнаване на заплахи, защита на самоличността, разследване, отбелязване, правни действия и външни партньорства – е модел за това как трябва да работим.“

Свързани статии

Прекъсване на услугите на портала за киберпрестъпления

С помощта на разузнаването за заплахи от Arkose Labs Microsoft предприема технически и правни действия, за да прекъсне дейността на най-големия продавач и създател на фалшиви акаунти в Microsoft – група, която наричаме Storm-1152. Наблюдаваме, забелязваме и ще действаме, за да защитим нашите клиенти.
Научете повече

Майкрософт, Amazon и международни правоприлагащи органи се обединяват в борбата с измамите в областта на техническата поддръжка

Вижте как Microsoft и Amazon обединиха за първи път в историята усилията си, за да унищожат незаконни кол центрове за техническа поддръжка в Индия.
Научете повече

Отвътре в борбата срещу хакерите, които нарушиха работата на болниците и застрашиха живота на хората

Надникнете зад кулисите на съвместната операция на Microsoft, производителя на софтуер Fortra и Health-ISAC за разрушаване на разбитите сървъри на Cobalt Strike и затрудняване на работата на киберпрестъпниците.
Научете повече

Следвайте Microsoft Security