Otsime Microsoftis järjekindlalt uusi loomingulisi viise, kuidas inimesi veebis kaitsta. Muu hulgas tähendab see, et meil puudub igasugune tolerants nende vastu, kes loovad meie toodetest võltskoopiaid, et teistele kahju teha. Võltsitud veebikontod toimivad väravana küberkuritegevuse maailma – andmepüügi, identiteedivarguse ja pettuste ning hajusate ummistusrünnete (DDoS) juurde. Just seetõttu oleme juhtiva küberturbe kaitsemeetmete ja robotihalduse pakkuja Arkose Labsi väärtuslikule ohuanalüüsiteabele tuginedes otsustanud teha lõpu võltsitud Microsofti kontode suurimale loojale ja müüjale – rühmitusele, kellele oleme koodnimeks pannud Storm-1152. Saadame selge sõnumi neile, kelle soov on küberkuritegevuse eesmärgil Microsofti toodete võltsinguid luua, müüa või levitada: oleme valvel, märkame kõike ja tegutseme oma klientide kaitsmiseks. Storm-1152 käitab ebaseaduslikke veebisaite ja sotsiaalmeedialehti ning müüb tuntud tehnoloogiaplatvormidel identiteedi tõendamise tarkvarast mööda hiilimiseks võltsitud Microsofti kontosid ja tööriistu. Need teenused hoiavad kurjategijate jaoks kokku nii aega kui ka vaeva, mis neil muidu veebis kuritegude toimepaneku jaoks kuluks. Storm-1152 on tänaseks loonud müügiks ligikaudu 750 miljonit võltsitud Microsofti kontot, mis on rühmitusele sisse toonud miljoneid dollareid ebaseaduslikku tulu ning läinud Microsoftile ja teistele ettevõtetele kuritegevusega võitlemisel maksma sellest veel palju rohkem. Meie tänase tegutsemise eesmärk on kriminaalset käitumist ära hoida. Soovime pidurdada tempot, millega küberkurjategijad ründeid läbi viivad, ning seeläbi muuta tegutsemine nende jaoks kulukamaks. Samal ajal jätkame meie uurimist ning oma klientide ja teiste veebikasutajate kaitsmist.
Registreeruge kohe 2024. aasta Microsofti digikaitsearuande ülevaateid käsitleva järelvaadatava veebiseminari vaatamiseks.
Küberkuritegevuse väravate sulgemine
Storm-1152 mängib küberkuritegevuse teenuste („küberkuritegevus teenusena“ ehk CaaS) pakkumise väga spetsiifilises ökosüsteemis märkimisväärset rolli. Küberkurjategijatel on oma suuresti automatiseeritud kriminaalsete ettevõtmiste jaoks vaja võltskontosid. Mida kiiremini suudavad ettevõtted võltskontosid tuvastada ja sulgeda, seda suuremas koguses kontosid kurjategijad leevendusmeetmetest mööda pääsemiseks vajavad. Selle asemel, et tuhandete võltskontode loomisele aega raisata, saavad küberkurjategijad need lihtsalt Storm-1152 ja muude sarnaste rühmituste käest osta. See võimaldab kurjategijatel keskenduda oma põhilistele eesmärkidele – andmepüügile, rämpspostile, lunavarale ning muud tüüpi pettustele ja väärkasutusele. Storm-1152 ja teised sarnased rühmitused aitavad kümnetel küberkriminaalidel kuritegusid oluliselt tõhusamalt toime panna.
Microsofti ohuanalüüsi meeskond on tuvastanud mitu Storm-1152 kontosid kasutanud rühmitust, kes tegelevad lunavararünnete, andmevarguste ja väljapressimisega. Näiteks Octo Tempest, keda teatakse ka Scattered Spideri nime all, hankis võltsitud Microsofti kontod just Storm-1152 käest. Octo Tempest on küberkuritegevuse rühmitus, keda motiveerib raha ning kes tegeleb ulatuslike manipuleerimiskampaaniatega, et rünnata asutusi ja ettevõtteid üle kogu maailma ning ründe ohvriks langenud organisatsioonidelt raha välja pressida. Microsoft jälgib jätkuvalt mitut teist lunavararünnete või väljapressimisega tegelevat küberohustajat, kes on oma rünnete tõhusamiseks võltskontosid ostnud just Storm-1152 käest; nende ohustajate seas on Storm-0252 ja Storm-0455.
7. detsembril andis New Yorgi lõunapiirkonna ringkonnakohus välja kohtumääruse, millega lubati Microsoftil üle võtta Ameerika Ühendriikides asuv taristu ja peatada nende veebisaitide töö, mida Storm-1152 kasutab Microsofti klientidele kahju tekitamiseks. Ehkki meie juhtumis on põhitähelepanu võltsitud Microsofti kontodel, müüsid mõjutatud veebisaidid ka teenuseid, mis võimaldasid teistel tuntud tehnoloogiaplatvormidel turbemeetmetest mööda pääseda. Seetõttu on meie tegutsemisel laiem mõju, mis toob kasu ka teistele kasutajatele peale Microsofti klientide. Konkreetsemalt öeldes halvas Microsofti küberkuritegevuse üksus järgmiste saitide ja teenuste töö.
- Hotmailbox.me, – veebisait, kus müüakse võltsitud Microsoft Outlooki kontosid.
- 1stCAPTCHA, AnyCAPTCHA ja NoneCAPTCHA, – veebisaidid, mis toetavad robotilõksude (CAPTCHA) lahendamise teenuse tööriistu, taristut ja müüki, et hiilida mööda nõudest, mille järgi peab konto häälestama ja seda kasutama inimene. Need saidid müüsid identiteedi tõendamisest möödahiilimise tööriistu teiste tehnoloogiaplatvormide jaoks.
- Sotsiaalmeediasaidid, mida kasutatakse aktiivselt nende teenuste turundamiseks.
Storm-1152 ebaseaduslike veebisaitide pildid.
Microsoft on võtnud endale eesmärgiks pakkuda turvalist digikeskkonda igale inimesele ja organisatsioonile kogu maailmas. Koostööd Arkose Labsiga töötame selle nimel, et tuua juba varsti välja uue põlvkonna CAPTCHA kaitselahendus. See lahendus nõuab, et iga potentsiaalne kasutaja, kes soovib luua uue Microsofti konto, peab tõendama, et ta on inimene (mitte robot), ja lahendama selleks mitmesugust tüüpi ülesandeid.
Arkose Labsi asutaja ja tegevjuht Kevin Gosschalk ütleb: „Storm-1152 on muljetavaldav vastane, kelle rajamisel on olnud ainult üks eesmärk: teha raha, andes vaenlastele jõudu sooritada keerukaid ründeid. Rühmitust eristab teistest asjaolu, et see rajas oma CaaS-äri päevavalgel, mitte pimeveebis. Storm-1152 tegutses tavapärase Interneti-ettevõttena, pakkudes oma tööriistade jaoks ka koolitust ja isegi täielikku kliendituge. Tegelikult aga oli Storm-1152 lukustamata värav tõsiste pettuste juurde.“
Lisaks sellele, et Storm-1152 tegevus – võltskontode müük – rikub Microsofti teenusetingimusi, tegeleb see ka teadlikult Arkose Labsi klientidele kahju tekitamise ja ohvrite petmisega, teeseldes turbemeetmetest mööda hiilimise katsel, et tegemist on reaalsete kasutajatega.
Kuvatõmmis Microsofti algatatud domeenikonfiskeerimisest, mille põhjus on veebisaidi katse müüa pettusega hangitud Microsofti kontosid
Storm-1152 tegevuse uurimine hõlmas tuvastamist, analüüsimist, telemeetriaandmetega tutvumist, salaja tehtud testoste ja pöördprojekteerimist, et teha väga täpselt kindlaks see ründetaristu, mida rühmitus Ameerika Ühendriikides kasutab. Microsofti ohuanalüüsi meeskond ja Arkose’i küberohuteabe uurimise üksus (ACTIR) varustasid meid täiendavatee andmete ja ülevaadetega, mis aitasid meil kaasust tugevamaks muuta.
Uurimise raames õnnestus meil kindlaks teha Storm-1152 tegevust juhtivate ohustajate isikud – need olid Vietnamis tegutsevad Duong Dinh Tu, Linh Van Nguyễn (tuntud ka kui Nguyễn Van Linh) ja Tai Van Nguyen. Meie uurimine näitab, et need indiviidid käitasid ebaseaduslikke veebisaite ja kirjutasid nende koodi, avaldasid üksikasjalikke videojuhendeid toodete kasutamiseks ning pakkusid vestlusteenuse kaudu abi neile, kes nende pettuseteenuseid kasutasid.
Microsoft on esitanud edasisuunamise nende vastutusele võtmiseks Ameerika Ühendriikide õiguskaitseasutustele. Meil on suurepärane koostöö korrakaitseorganitega, kes saavad tuua need, kes soovivad meie klientidele kahju teha, seadusesilma ette vastust andma.
Duong Dinh Tu YouTube’i kanal õpetusvideotega turbemeetmetest mööda hiilimiseks.
Tänase tegutsemisega jätkame Microsofti strateegiat võtta sihikule laiem küberkriminaalne ökosüsteem ja tööriistad, mida küberkurjategijad kasutavad rünnete algatamiseks. Selle aluseks on meie laiendatud õiguslik meetod, mida oleme varem edukalt kasutanud ründevara- ja riiklikult mahitatud ründeoperatsioonide halvamiseks. Samuti on meil partnerlussuhted teiste selle valdkonna organisatsioonidega, et paremini jagada teavet pettuste kohta ning üheskoos täiustada oma tehisintellekti- ja masinõppealgoritme, mis püüavad võltskontosid kiiresti tuvastada ja neile tähelepanu juhtida.
Nagu oleme varemgi öelnud, ei saa ühelegi tegevusele lõppu panna ühe päevaga. Küberkuritegevusega võitlemine nõuab järjepidevust ning pidevat valvsust, et uue ründetaristu tööd halvata. Ehkki seekordne kohtuasi mõjutab Storm-1152 tegevust, eeldame, et teised küberohustajad muudavad seetõttu oma tehnikaid ja lähenemist. Kui soovime küberkuritegevusega sisukalt võidelda, on avaliku ja erasektori jätkuv koostöö (nagu seekordne Arkose Labsi ja USA õiguskaitse koostöö) äärmiselt oluline.
Jälgige Microsofti turbeteenust