Úspěchy v boji se službami usnadňujícími kyberkriminalitu
Storm-1152 hraje významnou roli ve vysoce specializovaném ekosystému kybernetické kriminality jako služby. Kyberzločinci potřebují podvodné účty k podpoře svých převážně automatizovaných trestných činností. Vzhledem k tomu, že společnosti jsou schopny podvodné účty rychle identifikovat a rušit, potřebují zločinci větší množství účtů, aby se těmto snahám o zmírnění škod vyhnuli. Kyberzločinci nemusí trávit čas vytvářením tisíců podvodných účtů, ale můžou si je jednoduše koupit od Storm-1152 a dalších skupin. Mohou tak svoji činnost soustředit na svoje hlavní cíle – phishing, rozesílání spamu, ransomware a další typy podvodů a zneužívání. Storm-1152 a podobné skupiny umožňují desítkám kyberzločinců provádět jejich škodlivé aktivity efektivněji a účinněji.
Služba analýzy hrozeb Microsoft identifikovala několik skupin zabývajících se ransomwarem, krádežemi dat a vydíráním, které používaly účty Storm-1152. Například Octo Tempest, známá taky pod názvem Scattered Spider, operuje s podvodnými účty Microsoftu právě od skupiny Storm-1152. Octo Tempest je finančně motivovaná kyberzločinecká skupina, která využívá rozsáhlých kampaní sociálního inženýrství ke kompromitaci organizací po celém světě s cílem finančního vydírání. Společnost Microsoft pokračuje ve sledování několika dalších aktérů v oblasti ransomwaru nebo vyděračských hrozeb, kteří zakoupili podvodné účty od Storm-1152, aby posílili své útoky, včetně Storm-0252 a Storm-0455.
Ve čtvrtek 7. prosince obdržela společnost Microsoft soudní příkaz od soudu pro Jižní okrsek New Yorku umožňující zabavení infrastruktury umístěné v USA a vyřazení z provozu webových stránek, které Storm-1152 používal k poškozování zákazníků společnosti Microsoft. Ačkoli se náš případ zaměřuje na podvodné účty Microsoftu, příslušné webové stránky, kterých se příkaz týká, prodávaly taky služby umožňující obejít bezpečnostní opatření na jiných známých technologických platformách. Dnešní opatření má proto širší dopad a přináší prospěch i uživatelům mimo společnost Microsoft. Oddělení Microsoftu pro boj s digitální kriminalitou konkrétně vyřadilo z provozu tyto služby:
- Hotmailbox.me – stránka prodávající podvodné účty Microsoft Outlooku
- 1stCAPTCHA, AnyCAPTCHA a NoneCAPTCHA – webové stránky, které usnadňují tvorbu nástrojů a infrastruktury a prodej služby pro řešení CAPTCHA, která umožňuje obejít potvrzení o tom, že účet používá a nastavuje skutečná osoba. Tyto stránky prodávaly nástroje pro obcházení ověřování totožnosti pro jiné technologické platformy.
- Stránky na sociálních sítích aktivně využívané k propagaci těchto služeb.
Společnost Microsoft se zavázala poskytovat bezpečné digitální prostředí pro všechny lidi a organizace na světě. Se společností Arkose Labs úzce spolupracujeme na nasazení zabezpečovacího řešení CAPTCHA nové generace. Tento nástroj spočívá v tom, že každý budoucí uživatel, který si chce otevřít účet Microsoft, musí prohlásit, že je člověk (nikoliv bot), a správnost tohoto prohlášení ověřit řešením různých typů úkolů.
Zakladatel a výkonný ředitel společnosti Arkose Labs Kevin Gosschalk k tomu řekl: „Storm-1152 je silný nepřítel založený s jediným cílem – vydělávat peníze tím, že umožní protivníkům páchat komplexní útoky. Skupina se vyznačuje tím, že své podnikání v oblasti CaaS vybudovala všem na očích a nikoli na dark webu. Storm-1152 fungovala jako typický internetový podnik, který poskytuje školení pro své nástroje a nabízí dokonce plnou zákaznickou podporu. Ve skutečnosti Storm-1152 otevírala dveře závažným podvodům.“
Storm-1152 svou činností nejen porušuje podmínky služeb společnosti Microsoft prodejem podvodných účtů, ale taky se záměrně snaží poškodit zákazníky společnosti Arkose Labs a oklamat oběti a vydává se za legitimní uživatele ve snaze obejít bezpečnostní opatření.
Naše analýza aktivity Storm-1152 zahrnovala detekci, analýzu, telemetrii, tajné testovací nákupy a reverzní inženýrství s cílem určit škodlivou infrastrukturu hostovanou ve Spojených státech. Služba analýzy hrozeb Microsoft a jednotka pro analýzu kybernetických hrozeb Arkose (ACTIR) poskytly další data a poznatky, které posílily naši právní argumentaci.
V rámci našeho vyšetřování se nám podařilo potvrdit totožnost aktérů, kteří vedli operace Storm-1152: Duong Dinh Tu, Linh Van Nguyễn (známý také jako Nguyễn Van Linh) a Tai Van Nguyen sídlící ve Vietnamu. Podle našich zjištění tyto osoby provozovaly a psaly kód pro nelegální webové stránky, zveřejňovaly podrobné videonávody krok za krokem pro používání jejich produktů a poskytovaly chatové služby na pomoc těm, kteří jejich podvodné služby využívali.
Společnost Microsoft se mezitím obrátila na americké orgány činné v trestním řízení s doporučením k vyšetřování. Jsme vděční za spolupráci s orgány činnými v trestním řízení, které mohou přivést před soud ty, kdo chtějí poškodit naše zákazníky.
Dnešní akce je pokračováním strategie společnosti Microsoft, která se zaměřuje na širší ekosystém kyberzločinců a na nástroje, které kyberzločinci používají k provádění svých útoků. Vychází z našeho rozšíření legální metody, která se úspěšně používá k narušování působení malwaru a operací národních států. Uzavřeli jsme také partnerství s dalšími organizacemi napříč odvětvím, abychom posílili sdílení informací o podvodech a dále zlepšili naši umělou inteligenci a algoritmy strojového učení, které rychle odhalují a označují podvodné účty.
Jak jsme se už zmínili, žádná taková operace není hotová za jeden den. Boj proti kyberkriminalitě vyžaduje vytrvalost a neustálou ostražitost, aby bylo možné postihovat novou škodlivou infrastrukturu. I když budou mít dnešní právní kroky dopad na činnost skupiny Storm-1152, očekáváme, že ostatní aktéři hrozeb v důsledku toho upraví své metody. Jestliže chceme významně omezit dopady kyberkriminality, je i nadále nezbytná pokračující spolupráce veřejného a soukromého sektoru, jako je ta dnešní se společností Arkose Labs a americkými orgány činnými v trestním řízení.
Sledujte zabezpečení od Microsoftu