Trace Id is missing

Une action audacieuse contre la fraude : Déstabiliser Storm-1152

Partager
Un ensemble coloré de cercles avec diverses icônes.

Vue d’ensemble

En mars 2023, un important client de Microsoft a été victime d'une série de cyberattaques de spam qui ont provoqué des pannes dans son système.

La cause ? Une avalanche de comptes Microsoft Outlook et Hotmail créés frauduleusement dans le but de profiter des services du client fournis à titre d'essai à des utilisateurs potentiels, alors que ces faux comptes n'avaient aucune intention de payer pour ces services. En conséquence, le client a bloqué toutes les inscriptions à de nouveaux comptes à partir d'adresses Microsoft Outlook et Hotmail.

Cette attaque était en réalité le fait d'une entreprise frauduleuse plus importante basée au Viêt Nam, un groupe que Microsoft appelle Storm-1152.

Storm-1152 gère des sites web et des pages de réseaux sociaux illicites, vendant des comptes Microsoft frauduleux et des outils permettant de contourner les logiciels de vérification d’identité sur des plateformes technologiques bien connues. Les services de Storm-1152 servent de passerelle vers la cybercriminalité en réduisant le temps et les efforts nécessaires aux criminels pour mener une série de comportements criminels et abusifs en ligne. Au total, le groupe a créé pour la vente environ 750 millions de comptes Microsoft frauduleux, ce qui lui a rapporté des millions de dollars en revenus illicites et a coûté encore plus cher aux entreprises dans la lutte contre ces activités criminelles.

Il s'avère que de nombreux groupes utilisaient les comptes Storm-1152 pour se livrer à des actes de ransomware, de vol de données et d'extorsion​ Octo Tempest, Storm-0252, Storm-0455, et bien d’autres. Ses activités de vente de comptes en ont fait l'un des plus grands fournisseurs de services de lutte contre la cybercriminalité en ligne.

Microsoft suivait l'augmentation de cette activité malveillante depuis 2022, en augmentant l'utilisation d'algorithmes d'apprentissage automatique pour prévenir et détecter les modèles observés pour la création de ces comptes frauduleux. Toutefois, le printemps 2023 a marqué un point d'inflexion en raison de l'abus croissant des plateformes de Microsoft et de ses partenaires. Une action plus agressive s'imposait et une équipe inter-fonctionnelle au sein de Microsoft et avec notre partenaire Arkose Labs a été constituée.

Immédiatement après cette action, nous avons observé une baisse d'environ 60 % du nombre d'inscriptions. Cette diminution correspond étroitement aux 60 % ou plus d'inscriptions que nos algorithmes ou partenaires ont ensuite identifiées comme étant abusives et que nous avons ensuite suspendues des services Microsoft. 

Cet effort coordonné a permis à la Digital Crimes Unit (DCU) de Microsoft d'engagerla premièreaction en justice en décembre 2023 pour saisir et fermer les sites web que Storm-1152 utilisait pour vendre ses services. Immédiatement après cette action, nous avons observé une baisse d'environ 60 % du nombre d'inscriptions. Cette diminution correspond étroitement aux 60 % ou plus d'inscriptions que nos algorithmes ou partenaires ont ensuite identifiées comme étant abusives et que nous avons ensuite suspendues des services Microsoft. Le 23 juillet, nous avons intenté une deuxième action civile pour perturber les nouvelles infrastructures que le groupe avait tenté de mettre en place à la suite de notre action en justice de décembre.

Ce rapport sur les menaces émergentes passe en revue les coulisses de l'action et souligne l'importance de la collaboration entre les différents secteurs d'activité pour lutter contre les cyber-menaces. Cette affaire illustre la manière dont l'industrie peut utiliser les voies légales pour dissuader d'autres groupes et assurer la sécurité des internautes. Elle montre également l'importance des perturbations permanentes et la manière dont les actions en justice restent une méthode efficace contre les cybercriminels, même lorsqu'ils changent de tactique. En fin de compte, aucune opération n'est unique.

La découverte et l’identification de Storm-1152

En février 2023, Matthew Mesa, chercheur principal en sécurité au sein du centre de renseignement sur les menaces de Microsoft (MSTIC), a observé un nombre croissant de comptes Microsoft Outlook utilisés dans des campagnes d'hameçonnage de masse. Dans le cadre de ses fonctions, M. Mesa analyse les campagnes de courrier électronique et recherche les activités suspectes. Alors qu'il continuait à constater une augmentation de l'utilisation de comptes frauduleux, il s'est posé la question suivante : « Tous ces comptes pourraient-ils être liés les uns aux autres ? »

Il a immédiatement créé un nouveau profil d'acteur de la menace, Storm-1152, et a commencé à suivre leur activité et a signalé ses découvertes à l'équipe Identité de Microsoft. Shinesa Cambric, cheffe de produit principal de l'équipe de défense contre les abus et les fraudes de Microsoft, a également surveillé cette activité malveillante et a remarqué une augmentation des comptes automatisés (bots) qui tentent de déjouer les défis CAPTCHA utilisés pour protéger le processus d'inscription aux services grand public de Microsoft.​

« Mon équipe se concentre à la fois sur l'expérience du consommateur et sur celle de l'entreprise, ce qui signifie que nous protégeons chaque jour des milliards de comptes contre la fraude et les abus », explique Mme. Cambric. « Notre rôle est de comprendre les méthodologies des acteurs de la menace afin de pouvoir contourner les attaques et empêcher l'accès à nos systèmes. Nous sommes toujours en train de songer à la prévention, à la manière dont nous pouvons arrêter les indésirables à la porte d'entrée de nos systèmes. »

Ce qui a attiré son attention, c'est le niveau croissant de la fraude liée à cette activité. Lorsque de nombreuses parties – des partenaires de Microsoft ainsi que des éléments de notre chaîne d'approvisionnement – nous ont contactés pour signaler les dommages causés par ces comptes Microsoft créés par des robots, Cambric est passé à l'action.

En collaboration avec Arkose Labs, fournisseur de services de défense en cybersécurité et de gestion des robots, l'équipe de M. Cambric s'est efforcée d'identifier et de désactiver les comptes frauduleux du groupe, et a partagé les détails de son travail avec ses collègues du MSTIC de Microsoft et de l'unité Arkose Cyber Threat Intelligence Research (ACTIR).

« Notre rôle est de comprendre les méthodologies des acteurs de la menace afin de pouvoir contourner les attaques et empêcher l'accès à nos systèmes. Nous sommes toujours en train de songer à la prévention, à la manière dont nous pouvons arrêter les indésirables à la porte d'entrée de nos systèmes. » 
Shinesa Cambric 
Chef de produit principal, équipe de défense contre les abus et les fraudes, Microsoft 

« Au départ, notre rôle était de protéger Microsoft contre la création de comptes malveillants », explique Patrice Boffa, Chief Customer Officer d'Arkose Labs. « Mais une fois que Storm-1152 a été identifié en tant que groupe, nous avons également entrepris de collecter un grand nombre de renseignements sur les menaces. »

Comprendre Storm-1152

En tant que groupe à motivation financière en cours de développement, Storm-1152 s'est distingué par son organisation inhabituelle et le professionnalisme de ses offres de cybercrime en tant que service (CaaS). Fonctionnant comme une entreprise légitime, Storm-1152 a exploité son service illicite de résolution des CAPTCHA au grand jour.

« Si vous ne saviez pas qu'il s'agissait d'une organisation malveillante, vous pourriez la comparer à n'importe quelle autre société de services informatiques, » 
Patrice Boffa
Directeur de la clientèle, Arkose Labs

« Si vous ne saviez pas qu'il s'agissait d'une organisation malveillante, vous pourriez la comparer à n'importe quelle autre société de services informatiques, » explique Boffa, ajoutant que le site AnyCAPTCHA.com, créé par Storm-1152 avait un site Web public, acceptait les paiements en crypto-monnaies via PayPal et offrait même un canal d'assistance.

Ce service utilisait des bots pour récolter des tokens CAPTCHA en masse, pour les vendre à des clients qui les utilisaient ensuite à des fins inappropriées (comme la création en masse de comptes Microsoft frauduleux destinés à être utilisés ultérieurement dans des cyberattaques) avant qu'ils n'expirent. Les tentatives de création de comptes frauduleux se sont déroulées avec une telle rapidité et une telle efficacité que l'équipe d'Arkose Labs a conclu que le groupe utilisait une technologie d'apprentissage automatique. 

« Lorsque nous avons constaté le rythme de leur adaptation à nos efforts de lutte, nous avons réalisé qu'une grande partie de leurs attaques étaient basées sur l'intelligence artificielle », a déclaré Boffa. « Par rapport aux autres adversaires que nous avons vus, Storm-1152 a fait usage de l'IA de manière innovante. » Les équipes d'Arkose Labs et de Microsoft ont pu observer un changement dans les tactiques des entreprises pour s'adapter aux efforts accrus de détection et de prévention.

Au départ, Storm-1152 se concentrait sur la fourniture de services permettant aux criminels de contourner les défenses de sécurité d'autres entreprises technologiques,​Microsoft​ étant leur plus grande victime. Storm-1152 a proposé des services permettant decontourner​​​ les défenses afin de créer des comptes frauduleux, puis a proposé un nouveau service après avoir été détecté. Au lieu de fournir des outils permettant de contourner les défenses contre la création de comptes, le groupe a pivoté en utilisant ses propres tokens CAPTCHA pour créer des comptes Microsoft frauduleux destinés à être revendus.

« Ce que nous avons observé avec Storm-1152 est typique », déclare Boffa. Chaque fois que vous attrapez un acteur de la menace, il tente un autre coup. Garder une longueur d'avance sur eux est un jeu du chat et de la souris ».

Constitution d'un dossier juridique contre Storm-1152

Quand l'activité frauduleuse a atteint son point d'ébullition en mars 2023, Cambric et Mesa ont fait appel à l'unité de lutte contre la criminalité numérique (DCU) de Microsoft pour voir ce qu'il était possible de faire.

En tant que branche externe de Microsoft chargée de l'application de la loi, la DCU ne poursuit généralement que les acteurs les plus sérieux ou les plus persistants. Elle se concentre sur la perturbation – l'augmentation du coût des affaires – pour laquelle les renvois au pénal et/ou les poursuites civiles sont les principaux outils.

Sean Farrell, avocat principal de l'équipe chargée de la lutte contre la cybercriminalité au sein de la DCU de Microsoft, Jason Lyons, responsable principal des enquêtes au sein de l'équipe chargée de la lutte contre la cybercriminalité à la DCU de Microsoft, et Maurice Mason, enquêteur principal en cybercriminalité, se sont réunis pour approfondir l'enquête. Ils se sont coordonnés avec l'avocat externe de Microsoft pour concevoir une stratégie juridique et ont rassemblé les preuves nécessaires pour intenter une action civile, en s'appuyant sur les idées de plusieurs équipes au sein de Microsoft et sur les informations sur les menaces recueillies par Arkose Labs.

« Beaucoup de travail avait déjà été fait avant que la DCU n'intervienne », se souvient Lyons. « L'équipe Identité et Arkose Labs avaient déjà effectué un travail considérable pour identifier et désactiver les comptes, et comme MSTIC a pu relier les comptes frauduleux à certains niveaux de l'infrastructure, nous avons pensé qu'il s'agirait d'un bon cas juridique pour la DCU ».

Parmi les facteurs qui contribuent à la constitution d'une affaire digne d'être poursuivie,  citons l'existence de lois pouvant être utilisées dans le cadre d'une action civile, l'existence d'une juridiction et la volonté de l'entreprise de nommer publiquement les personnes concernées.

Lyons compare l'examen de ces facteurs à un processus de triage, où la DCU examine les faits et les informations pour l'aider à déterminer si tous les éléments constituent un bon dossier. « Sur la base de ce que nous faisons, nous nous demandons si nous voulons consacrer notre temps et notre énergie à l'action », explique-t-il. « L'impact sera-t-il à la hauteur des ressources que nous devrons y consacrer ? » Dans ce cas, la réponse est oui.

Mason a été chargé de travailler sur l'attribution des activités de cybercriminalité en tant que service de Storm-1152. « Mon rôle était de suivre la manière dont Storm-1152 vendait ces comptes frauduleux à d'autres groupes d'acteurs de la menace et d'identifier les individus à l'origine de Storm-1152 », explique Mason.

Grâce à leur travail d'enquête, qui comprenait un examen approfondi des pages de réseaux sociaux et des identifiants de paiement, Microsoft et Arkose Labs ont pu identifier les individus à l'origine de Storm-1152 – Duong Dinh Tu, Linh Van Nguyễn (également connu sous le nom de Nguyễn Van Linh), et Tai Van Nguyen.

Leurs constatations montrent que ces personnes ont exploité et écrit le code des sites web illicites, publié des instructions détaillées, étape par étape, sur la manière d’utiliser leurs produits au moyen de tutoriels vidéo, et fourni des services de conversation instantanée pour aider ceux qui utilisent leurs services frauduleux. D'autres connexions ont ensuite été établies avec l'infrastructure technique du groupe, que l'équipe a pu rattacher à des hôtes basés aux États-Unis.

« L'une des raisons pour lesquelles nous menons ces actions au sein de la DCU est de limiter l'impact de ces cybercriminels. Nous le faisons en intentant des actions en justice ou en fournissant des références pénales qui conduisent à des arrestations et à des poursuites. »
Sean Farrell 
Avocat principal, équipe chargée de la lutte contre la cybercriminalité ; Microsoft

Décrivant la décision de poursuivre l'affaire, M. Farrell déclare : « Dans ce cas, nous avons eu de la chance grâce à l'excellent travail des équipes, qui ont identifié les acteurs qui ont mis en place l'infrastructure et les services criminels.

L'une des raisons pour lesquelles nous menons ces actions au sein de la DCU est de limiter l'impact de ces cybercriminels. Nous le faisons en intentant des actions en justice ou en fournissant des références pénales qui conduisent à des arrestations et à des poursuites. Je pense qu'il s'agit d'un message très fort lorsque vous êtes en mesure d'identifier les acteurs et de les identifier publiquement dans des plaidoiries juridiques aux États-Unis. »​​

Réapparition de Storm-1152 et deuxième action en justice​

Alors que l'équipe a constaté une baisse immédiate de l'infrastructure à la suite de la perturbation de décembre 2023, Storm-1152 a refait surface en lançant un nouveau site appelé RockCAPTCHA et de nouvelles vidéos didactiques pour aider ses clients. RockCAPTCHA a ciblé Microsoft en proposant des services spécifiquement conçus pour tenter de déjouer les mesures de sécurité CAPTCHA d'Arkose Labs. L'action de juillet a permis à Microsoft de prendre le contrôle de ce site web et de porter un nouveau coup aux acteurs.

L'unité de recherche Arkose Cyber Threat Intelligence Research (ACTIR) a également examiné de plus près la manière dont Storm-1152 tentait de reconstruire ses services. Ils ont observé que le groupe utilisait des tactiques plus sophistiquées, notamment en intensifiant l'utilisation de l'intelligence artificielle (IA), pour obscurcir ses activités et échapper à la détection. Cette résurgence est révélatrice des changements qui s'opèrent dans le paysage des menaces et démontre les capacités avancées des attaquants qui maîtrisent les technologies de l'IA. 

L'un des principaux domaines dans lesquels Storm-1152 a intégré l'IA est celui des techniques d'évasion. Arkose Labs a vu le groupe utiliser l'IA pour générer synthétiquement des signatures humaines.

Vikas Shetty est le chef de produit d'Arkose Labs et dirige son unité de recherche sur les menaces, ACTIR. « L'utilisation de modèles d'IA permet aux attaquants de former des systèmes qui émettent des signatures semblables à celles de l'homme, qui peuvent ensuite être utilisées à grande échelle pour des attaques », a déclaré Shetty. « La complexité et la variété de ces signatures font que les méthodes de détection traditionnelles ont du mal à suivre. »

En outre, Arkose Labs a observé que Storm-1152 tentait de recruter et d'employer des ingénieurs en IA, notamment des étudiants en master, des doctorants et même des professeurs dans des pays comme le Viêt Nam et la Chine.

« Ces personnes sont payées pour développer des modèles d'IA avancés qui peuvent contourner des mesures de sécurité sophistiquées. L'expertise de ces ingénieurs en intelligence artificielle garantit que les modèles sont non seulement efficaces, mais aussi adaptables à l'évolution des protocoles de sécurité », a déclaré Shetty.

Pour perturber efficacement les opérations des cybercriminels, il est essentiel de rester persévérant et de suivre de près la façon dont ils opèrent et utilisent les nouvelles technologies.

« Nous devons continuer à faire preuve de persévérance et à prendre des mesures qui rendent plus difficile la tâche des criminels », a déclaré Farrell. « C'est pourquoi nous avons intenté une deuxième action en justice pour prendre le contrôle de ce nouveau domaine. Nous devons faire passer le message que nous ne tolérerons pas les activités visant à nuire à nos clients et aux particuliers en ligne. »

Enseignements tirés et implications futures

Réfléchissant à l'issue de l'enquête et de la perturbation provoquée par Storm-1152, Farrell note que l'affaire est importante non seulement en raison de son impact pour nous et les autres entreprises concernées, mais aussi en raison des efforts déployés par Microsoft pour étendre l'impact de ces opérations, qui font partie de l'écosystème global de la cybercriminalité en tant que service.

Un message fort adressé au public

"Le fait de montrer que nous pouvions appliquer les leviers juridiques que nous avons utilisés si efficacement contre les attaques de logiciels malveillants et les opérations des États-nations a permis d'atténuer ou de remédier de manière significative à l'activité de l'acteur, qui est retombée à presque zéro pendant un certain temps après que nous ayons intenté l'action en justice", explique Farrell. « Je pense que cela nous a permis de constater qu'il est possible de mettre en place une véritable dissuasion, et que le message que le public en tire est important, non seulement pour l'impact, mais aussi pour le plus grand bien de la communauté en ligne. »

Nouveaux vecteurs d'accès dans l'identité

Une autre observation importante est que les acteurs de la menace ne cherchent plus à compromettre les points finaux, mais plutôt à s'en prendre aux identités.  Dans la plupart des attaques de ransomware, les acteurs de la menace utilisent des identités volées ou compromises comme vecteur d'attaque initial.
« Cette tendance montre que l'identité va devenir le premier vecteur d'accès aux incidents à venir », explique Mason. « Les RSSI pourraient vouloir adopter une position plus sérieuse sur l'identité lors de la modélisation de leur organisation – se concentrer d'abord sur l'identité, puis sur les points d'extrémité. »

L'innovation permanente est essentielle

La réapparition de Storm-1152 et de ses stratégies fondées sur l'intelligence artificielle souligne la nature évolutive des cyber-menaces. L'utilisation sophistiquée de l'IA par ces personnes, tant pour l'évasion que pour la résolution de problèmes, pose des défis importants aux mesures de sécurité traditionnelles. Les organisations doivent s'adapter en intégrant des techniques avancées de détection et d'atténuation pilotées par l'IA pour garder une longueur d'avance sur ces menaces.
« Le cas de Storm-1152 met en évidence la nécessité d'innover en permanence dans le domaine de la cybersécurité pour contrer les tactiques sophistiquées employées par les attaquants dotés d'une intelligence artificielle », déclare Shetty. « Comme ces groupes continuent d'évoluer, les défenses conçues pour les protéger doivent elles aussi évoluer. »

Nous savons que nous continuerons à faire face à de nouveaux défis en matière de sécurité dans les jours à venir, mais nous sommes optimistes quant aux enseignements que nous avons tirés de cette action. En tant que membre de la communauté des défenseurs, nous savons que nous travaillons mieux ensemble au service du bien commun et qu'une collaboration continue entre les secteurs public et privé reste essentielle face à la cybercriminalité.

Farrell déclare : « La collaboration entre les équipes dans le cadre de cette action – combinant les efforts des services de renseignement sur les menaces, de protection de l'identité, d'enquête, d'attribution, d'action en justice et de partenariats externes - est un modèle de la façon dont nous devrions fonctionner. »

Articles connexes

Déstabiliser les services passerelle du cybercrime

Microsoft, avec le soutien en matière de veille des menaces d’Arkose Labs, prend des mesures techniques et juridiques pour perturber le premier vendeur et créateur de comptes Microsoft frauduleux, un groupe que nous appelons Storm-1152. Nous observons, analysons et agirons pour protéger nos clients.
En savoir plus

Microsoft, Amazon et les forces de l’ordre internationales s’unissent pour lutter contre la fraude à l’assistance technique

Découvrez comment Microsoft et Amazon ont uni leurs forces pour la toute première fois afin de démanteler des centres d’appel d’assistance technique illégaux en Inde.
En savoir plus

Au cœur de la lutte contre les pirates informatiques qui ont perturbé les hôpitaux et mis des vies en danger

Découvrez les coulisses d’une opération conjointe entre Microsoft, l’éditeur de logiciels Fortra et Health-ISAC visant à perturber les serveurs Cobalt Strike piratés et à freiner les opérations des cybercriminels.
En savoir plus

Suivez la Sécurité Microsoft