Στη Microsoft, συνεχίζουμε να αναζητούμε δημιουργικούς τρόπους για την προστασία των ανθρώπων στο Internet και αυτό περιλαμβάνει την μηδενική ανοχή απέναντι σε όσους δημιουργούν πλαστά αντίγραφα των προϊόντων μας για να βλάψουν άλλους. Οι δόλιοι online λογαριασμοί λειτουργούν ως πύλη για μια σειρά εγκλημάτων στον κυβερνοχώρο, όπως το μαζικό ηλεκτρονικό "ψάρεμα", η κλοπή ταυτότητας και η απάτη, καθώς και οι επιθέσεις κατανεμημένης άρνησης υπηρεσίας (DDoS). Αυτός είναι ο λόγος για τον οποίο σήμερα, εμείς, λαμβάνοντας πολύτιμες πληροφορίες για απειλές από την Arkose Labs, έναν κορυφαίο προμηθευτή συστημάτων άμυνας στον κυβερνοχώρο και διαχείρισης bot, καταδιώκουμε τον νούμερο ένα πωλητή και δημιουργό δόλιων λογαριασμών Microsoft, μια ομάδα που ονομάζουμε Storm-1152. Στέλνουμε ένα ισχυρό μήνυμα σε όσους επιδιώκουν να δημιουργήσουν, να πουλήσουν ή να διανείμουν δόλια προϊόντα της Microsoft για εγκλήματα στον κυβερνοχώρο: Παρακολουθούμε, λαμβάνουμε υπόψη και θα αναλάβουμε δράση για να προστατεύσουμε τους πελάτες μας. Η Storm-1152 διαχειρίζεται παράνομες ιστοσελίδες και σελίδες κοινωνικών μέσων, πουλώντας δόλιους λογαριασμούς και εργαλεία της Microsoft για την παράκαμψη λογισμικού επαλήθευσης ταυτότητας σε γνωστές τεχνολογικές πλατφόρμες. Αυτές οι υπηρεσίες μειώνουν το χρόνο και την προσπάθεια που απαιτείται για τους εγκληματίες για να διεξάγουν μια σειρά από εγκληματικές και καταχρηστικές συμπεριφορές στο διαδίκτυο. Μέχρι σήμερα, η Storm-1152 δημιούργησε προς πώληση περίπου 750 εκατομμύρια δόλιους λογαριασμούς Microsoft, αποφέροντας στην ομάδα εκατομμύρια δολάρια σε παράνομα έσοδα και κοστίζοντας στη Microsoft και σε άλλες εταιρείες ακόμη περισσότερα για την καταπολέμηση της εγκληματικής της δραστηριότητας. Με τη σημερινή ενέργεια, στόχος μας είναι να αποτρέψουμε την εγκληματική συμπεριφορά. Επιδιώκοντας να επιβραδύνουμε την ταχύτητα με την οποία οι εγκληματίες του κυβερνοχώρου εξαπολύουν τις επιθέσεις τους, στοχεύουμε να αυξήσουμε το κόστος των επιχειρήσεών τους, συνεχίζοντας παράλληλα τις έρευνές μας και προστατεύοντας τους πελάτες μας και άλλους χρήστες του διαδικτύου.
Εγγραφείτε τώρα για να παρακολουθήσετε το σεμινάριο κατ' απαίτηση με τις πληροφορίες από την Αναφορά ψηφιακής ασφάλειας της Microsoft 2024.
Αναχαίτιση των υπηρεσιών πύλης για το έγκλημα στον κυβερνοχώρο
Η Storm-1152 διαδραματίζει σημαντικό ρόλο στο εξαιρετικά εξειδικευμένο οικοσύστημα εγκλήματος στον κυβερνοχώρο ως υπηρεσία. Οι εγκληματίες του κυβερνοχώρου χρειάζονται δόλιους λογαριασμούς για να υποστηρίξουν τις, σε μεγάλο βαθμό, αυτοματοποιημένες εγκληματικές δραστηριότητές τους. Καθώς οι εταιρείες είναι σε θέση να εντοπίζουν και να κλείνουν γρήγορα τους δόλιους λογαριασμούς, οι εγκληματίες χρειάζονται μεγαλύτερη ποσότητα λογαριασμών για να παρακάμψουν τις προσπάθειες μετριασμού. Αντί να ξοδεύουν χρόνο προσπαθώντας να δημιουργήσουν χιλιάδες δόλιους λογαριασμούς, οι εγκληματίες του κυβερνοχώρου μπορούν απλά να τους αγοράσουν από την Storm-1152 και άλλες ομάδες. Αυτό επιτρέπει στους εγκληματίες να εστιάσουν τις προσπάθειές τους στους απώτερους στόχους τους που είναι το ηλεκτρονικό "ψάρεμα", η ανεπιθύμητη αλληλογραφία, το ransomware και άλλοι τύποι απάτης και κατάχρησης. Η Storm-1152 και ομάδες όπως αυτή επιτρέπουν σε πολλούς εγκληματίες του κυβερνοχώρου να εκτελούν τις κακόβουλες δραστηριότητές τους πιο αποτελεσματικά και αποδοτικά.
Η υπηρεσία "Πληροφορίες της Microsoft σχετικά με απειλές" έχει εντοπίσει πολλές ομάδες που ασχολούνται με το ransomware, την κλοπή δεδομένων και τους εκβιασμούς και έχουν χρησιμοποιήσει λογαριασμούς της Storm-1152. Για παράδειγμα, η Octo Tempest, επίσης γνωστή ως Scattered Spider, απέκτησε δόλιους λογαριασμούς Microsoft από την Storm-1152. Η Octo Tempest είναι μια ομάδα εγκλήματος στον κυβερνοχώρο με οικονομικά κίνητρα που αξιοποιεί ευρείες εκστρατείες κοινωνικής μηχανικής για να θέσει σε κίνδυνο οργανισμούς σε όλο τον κόσμο με στόχο τον οικονομικό εκβιασμό. Η Microsoft συνεχίζει να παρακολουθεί πολλούς άλλους παράγοντες απειλής ransomware ή εκβιασμού που έχουν αγοράσει δόλιους λογαριασμούς από την Storm-1152 για να ενισχύσουν τις επιθέσεις τους, συμπεριλαμβανομένων των Storm-0252 και Storm-0455.
Την Πέμπτη 7 Δεκεμβρίου, η Microsoft έλαβε δικαστική εντολή από τη Νότια Περιφέρεια της Νέας Υόρκης να κατασχέσει υποδομές με έδρα τις ΗΠΑ και να διακόψει τη λειτουργία ιστοσελίδων που χρησιμοποιούνται από τη Storm-1152 για να βλάψουν τους πελάτες της Microsoft. Αν και η υπόθεσή μας επικεντρώνεται σε δόλιους λογαριασμούς Microsoft, οι ιστοσελίδες που επηρεάστηκαν πωλούσαν επίσης υπηρεσίες για να παρακάμψουν τα μέτρα ασφαλείας σε άλλες γνωστές τεχνολογικές πλατφόρμες. Επομένως, η σημερινή δράση έχει ευρύτερο αντίκτυπο, ωφελώντας χρήστες πέραν της Microsoft. Συγκεκριμένα, η Μονάδα Ψηφιακών Εγκλημάτων της Microsoft διέκοψε τη λειτουργία των ιστοσελίδων:
- Hotmailbox.me, μια τοποθεσία Web που πωλεί δόλιους λογαριασμούς Microsoft Outlook.
- 1stCAPTCHA, AnyCAPTCHA και NoneCAPTCHA, τοποθεσίες Web που διευκολύνουν την εργαλειοποίηση, την υποδομή και την πώληση της υπηρεσίας επίλυσης CAPTCHA για να παρακάμψουν την επιβεβαίωση της χρήσης και τη ρύθμιση λογαριασμού από ένα πραγματικό πρόσωπο. Αυτές οι τοποθεσίες πωλούσαν εργαλεία παράκαμψης της επαλήθευσης ταυτότητας για άλλες τεχνολογικές πλατφόρμες.
- Οι τοποθεσίες των κοινωνικών μέσων χρησιμοποιούνται ενεργά για την προώθηση αυτών των υπηρεσιών.
Εικόνες από τις παράνομες τοποθεσίες Web της Storm-1152.
Η Microsoft δεσμεύεται να παρέχει μια ασφαλή ψηφιακή εμπειρία για κάθε άτομο και οργανισμό στον πλανήτη. Συνεργαζόμαστε στενά με την Arkose Labs για την ανάπτυξη μιας λύσης άμυνας CAPTCHA επόμενης γενιάς. Η λύση απαιτεί από κάθε επίδοξο χρήστη που επιθυμεί να ανοίξει λογαριασμό Microsoft να δηλώνει ότι είναι άνθρωπος (και όχι bot) και να επαληθεύει την ακρίβεια αυτής της δήλωσης επιλύοντας διάφορους τύπους προκλήσεων.
Ως ιδρυτής και διευθύνων σύμβουλος της Arkose Labs, ο Kevin Gosschalk λέει: "Η Storm-1152 είναι ένας τρομερός εχθρός που δημιουργήθηκε με μοναδικό σκοπό να κερδίζει χρήματα δίνοντας στους αντιπάλους τη δυνατότητα να διαπράττουν πολύπλοκες επιθέσεις. Η ομάδα αυτή διακρίνεται από το γεγονός ότι έχτισε την επιχείρησή της CaaS υπό το φως της ημέρας και όχι στο dark web. Η Storm-1152 λειτουργούσε ως μια τυπική διαδικτυακή επιχείρηση, παρέχοντας εκπαίδευση για τα εργαλεία της και προσφέροντας ακόμη και πλήρη υποστήριξη πελατών. Στην πραγματικότητα, η Storm-1152 ήταν μια ξεκλείδωτη πύλη για σοβαρή απάτη".
Η δραστηριότητα της Storm-1152 όχι μόνο παραβιάζει τους όρους παροχής υπηρεσιών της Microsoft με την πώληση δόλιων λογαριασμών, αλλά επιδιώκει επίσης σκόπιμα να βλάψει τους πελάτες της Arkose Labs και να εξαπατήσει τα θύματα προσποιούμενη ότι πρόκειται για νόμιμους χρήστες, σε μια προσπάθεια να παρακάμψει τα μέτρα ασφαλείας.
Στιγμιότυπο οθόνης από έγγραφο κατάσχεσης τομέα που ξεκίνησε από τη Microsoft λόγω του γεγονότος ότι αυτή η τοποθεσία Web προσπαθεί να πουλήσει λογαριασμούς Microsoft που αποκτήθηκαν με απάτη
Η ανάλυσή μας σχετικά με τη δραστηριότητα της Storm-1152 περιλάμβανε ανίχνευση, ανάλυση, τηλεμετρία, μυστικές δοκιμαστικές αγορές και αντίστροφη μηχανική για τον εντοπισμό της κακόβουλης υποδομής που φιλοξενούνταν στις Ηνωμένες Πολιτείες. Οι υπηρεσίες "Πληροφορίες της Microsoft σχετικά με απειλές" και Arkose Cyber Threat Intelligence Research unit (ACTIR) παρείχαν πρόσθετα δεδομένα και πληροφορίες για την ενίσχυση της νομικής μας υπόθεσης.
Στο πλαίσιο της έρευνάς μας, μπορέσαμε να επιβεβαιώσουμε την ταυτότητα των δραστών που ηγούνται των επιχειρήσεων της Storm-1152 – Duong Dinh Tu, Linh Van Nguyễn (επίσης γνωστός ως Nguyễn Van Linh) και Tai Van Nguyen – με έδρα το Βιετνάμ. Τα ευρήματά μας δείχνουν ότι αυτά τα άτομα λειτουργούσαν και έγραφαν τον κώδικα για τις παράνομες τοποθεσίες Web, δημοσίευαν λεπτομερείς οδηγίες βήμα προς βήμα σχετικά με τον τρόπο χρήσης των προϊόντων τους μέσω εκπαιδευτικών βίντεο και παρείχαν υπηρεσίες συνομιλίας για να βοηθήσουν όσους χρησιμοποιούν τις δόλιες υπηρεσίες τους.
Έκτοτε, η Microsoft έχει υποβάλει ποινική παραπομπή στις αρχές επιβολής του νόμου των ΗΠΑ. Είμαστε ευγνώμονες για τη συνεργασία μας με τις αρχές επιβολής του νόμου, οι οποίες μπορούν να οδηγήσουν στη δικαιοσύνη όσους θέλουν να βλάψουν τους πελάτες μας.
Το κανάλι του Duong Dinh Tu στο YouTube με "βίντεο οδηγιών" για την παράκαμψη των μέτρων ασφαλείας.
Η σημερινή δράση αποτελεί συνέχεια της στρατηγικής της Microsoft να στοχεύει στο ευρύτερο οικοσύστημα εγκληματιών στον κυβερνοχώρο και να στοχεύει τα εργαλεία που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου για να εξαπολύουν τις επιθέσεις τους. Βασίζεται στην επέκταση μιας νομικής μεθόδου που χρησιμοποιήθηκε με επιτυχία για την αποδιοργάνωση κακόβουλου λογισμικού και εθνικών κρατικών επιχειρήσεων. Έχουμε επίσης συνεργαστεί με άλλους οργανισμούς του κλάδου για να αυξήσουμε την ανταλλαγή πληροφοριών σχετικά με την απάτη και να βελτιώσουμε περαιτέρω τους αλγορίθμους τεχνητής νοημοσύνης και μηχανικής μάθησης που ανιχνεύουν και επισημαίνουν γρήγορα τους δόλιους λογαριασμούς.
Όπως έχουμε ξαναπεί, καμία αναχαίτιση δεν ολοκληρώνεται σε μια μέρα. Η καταδίωξη του εγκλήματος στον κυβερνοχώρο απαιτεί επιμονή και συνεχή επαγρύπνηση για την αναχαίτιση νέων κακόβουλων υποδομών. Παρόλο που οι σημερινές νομικές ενέργειες θα επηρεάσουν τις δραστηριότητες της Storm-1152, αναμένουμε ότι και άλλοι παράγοντες απειλής θα προσαρμόσουν ανάλογα τις τεχνικές τους. Η συνεχής συνεργασία του δημόσιου και του ιδιωτικού τομέα, όπως η σημερινή με την Arkose Labs και τις αμερικανικές αρχές επιβολής του νόμου, παραμένει απαραίτητη αν θέλουμε να περιορίσουμε σημαντικά τον αντίκτυπο του εγκλήματος στον κυβερνοχώρο.
Ακολουθήστε την Ασφάλεια της Microsoft