Trace Id is missing

Krachtige actie tegen fraude: Storm-1152 verstoren

Deel
Een reeks kleurrijke cirkels met verschillende pictogrammen.

Overzicht

In maart 2023 kreeg een grote Microsoft-klant te maken met een reeks cyberaanvallen met spam, leidend tot storingen in het systeem van de klant.

De oorzaak? Een spervuur van frauduleus gemaakte Microsoft Outlook- en Hotmail-accounts die de voordelen van de services van de klant probeerden te benutten, services die worden aangeboden als proefversies voor potentiële gebruikers. Deze nepaccounts hadden niet de intentie om ooit voor deze services te betalen. Als gevolg daarvan blokkeerde de klant alle nieuwe accountregistraties van Microsoft Outlook- en Hotmail-adressen.

Achter deze aanval zat in werkelijkheid een grotere frauduleuze organisatie uit Vietnam. Microsoft noemt deze groep Storm-1152.

Storm-1152 beheerde onrechtmatige websites en socialmediapagina's waar frauduleuze Microsoft-accounts werden verkocht. De groep bood ook hulpmiddelen aan om software voor identiteitsverificatie op bekende technologieplatformen te omzeilen. De services van Storm-1152 dienen als een gateway voor cybercriminaliteit door ervoor te zorgen dat criminelen minder tijd en moeite nodig hebben voor criminele en onrechtmatige activiteiten online. In totaal heeft de groep ongeveer 750 miljoen frauduleuze Microsoft-accounts gemaakt om te verkopen, zodat de groep een onrechtmatige opbrengst van miljoenen dollars heeft verdiend. Voor bedrijven kost het zelfs nog meer om deze criminele activiteit te bestrijden.

Het blijkt dat meerdere groepen gebruikmaakten van de accounts van Storm-1152 voor activiteiten met ransomware, gegevensdiefstal en afpersing. Enkele van deze groepen zijn​ Octo Tempest, Storm-0252 en Storm-0455. De handel in accounts maakte Storm-1152 een van de grootste providers van cybercriminaliteit als een service.

Microsoft houdt de opkomst van deze kwaadaardige activiteit bij sinds 2022. Machine learning-algoritmen worden sindsdien steeds vaker gebruikt om het maken van deze frauduleuze accounts te voorkomen en om eerder waargenomen patronen op tijd te detecteren. In de lente van 2023 vond er echter een wending plaats vanwege het toenemende misbruik van Microsoft en partnerplatformen. Een agressievere tegenactie was noodzakelijk, uitgevoerd door een nieuw samengesteld, functieoverschrijdend team van Microsoft en partner Arkose Labs.

Onmiddellijk na de actie zagen we een afname van ongeveer 60% in het aantal registraties. Deze afname komt nauw overeen met het percentage registraties die onze algoritmen of partners later identificeerden als onrechtmatig (60% of meer). Aansluitend hebben we deze registraties geblokkeerd voor Microsoft-services. 

De gecoördineerde inspanning leidde tot de eerste juridische actie door de Digital Crimes Unit (DCU) van Microsoft, in december 2023. Deze actie bestond uit het in beslag nemen en sluiten van de websites die Storm-1152 gebruikte om de services te verkopen. Onmiddellijk na de actie zagen we een afname van ongeveer 60% in het aantal registraties. Deze afname komt nauw overeen met het percentage registraties die onze algoritmen of partners later identificeerden als onrechtmatig (60% of meer). Aansluitend hebben we deze registraties geblokkeerd voor Microsoft-services. Op 23 juli dienden we een tweede civiele procedure in om de nieuwe infrastructuur te verstoren die de groep probeerde in te richten na de rechtszaak in december.

Dit rapport over de opkomende bedreiging neemt een kijkje achter de schermen van de actie en benadrukt het belang van samenwerking tussen branches om cyberbedreigingen te vervolgen. Het dossier is een voorbeeld van hoe branches juridische kanalen kunnen gebruiken om te helpen andere groepen te ontmoedigen en individuen veilig online te houden. Het laat ook het belang zien van continue verstoringen en hoe juridische acties een effectieve methode tegen cybercriminelen blijven, zelfs wanneer ze hun tactieken veranderen. Uiteindelijk is geen enkele operatie een eenmalige.

De detectie en identificatie van Storm-1152

In februari 2023 heeft Matthew Mesa, Senior Security Researcher van het Microsoft Threat Intelligence Center (MSTIC), een groeiend patroon waargenomen van Microsoft Outlook-accounts die werden gebruikt voor massale phishingcampagnes. In zijn rol analyseert Mesa e-mailcampagnes, met aandacht voor verdachte activiteit. Na het zien van het toenemende aantal frauduleuze accounts, stelde hij zichzelf de vraag: kunnen al deze accounts aan elkaar gerelateerd zijn?

Hij maakte onmiddellijk een profiel voor een nieuwe bedreigingsactor, Storm-1152, begon de activiteiten bij te houden en zijn bevindingen te communiceren aan het identiteitsteam van Microsoft. Shinesa Cambric, Principal Product Manager van het team voor antimisbruik en verdediging tegen fraude, was ook begonnen met het bijhouden van deze kwaadaardige activiteit. Cambric merkte een toename op in het aantal geautomatiseerde accounts (bots) die probeerden de CAPTCHA-uitdagingen te verslaan. Deze uitdagingen worden gebruikt voor het beveiligen van het registratieproces voor Microsoft-consumentenservices.​​

"Mijn team focust zich op onze consumentenervaringen en op onze ondernemingservaring. Dit betekent dat we elke dag miljarden accounts beveiligen tegen fraude en misbruik", legt Cambric uit. "Het is onze rol om de methodieken van de bedreigingsactor te begrijpen, zodat we aanvallen kunnen omzeilen en toegang tot onze systemen kunnen voorkomen. We denken altijd aan preventie, aan hoe we kwaadwillende actoren bij de voordeur kunnen stoppen."

Het toenemende niveau aan de activiteit gerelateerde fraude trok haar aandacht. Toen meerdere partijen (Microsoft-partners en onderdelen van onze toeleveringsketen) contact opnamen om de schade te melden die was ontstaan uit deze door bots gemaakte Microsoft-accounts, kwam Cambric in actie.

Samen met Arkose Labs, provider van verdediging voor cyberbeveiliging en botbeheer, werkte het team van Cambric aan het identificeren en uitschakelen van de frauduleuze accounts van de groep. Details van hun werk werd gedeeld met Microsoft-collega's in bedreigingsinformatie van het MSTIC en de Arkose Cyber Threat Intelligence Research-eenheid (ACTIR).

"Het is onze rol om de methodieken van de bedreigingsactor te begrijpen, zodat we aanvallen kunnen omzeilen en toegang tot onze systemen kunnen voorkomen. We denken altijd aan preventie, aan hoe we kwaadwillende actoren bij de voordeur kunnen stoppen." 
Shinesa Cambric 
Principal Product Manager, Anti-Abuse and Fraud Defense Team, Microsoft 

"Aanvankelijk was het onze rol om Microsoft te beveiligen tegen het kwaadaardige maken van accounts", legt Patrice Boffa uit, Chief Customer Officer bij Arkose Labs. "Op het moment dat Storm-1152 was geïdentificeerd als een groep, begonnen we ook met het verzamelen van heel veel bedreigingsinformatie."

Storm-1152 begrijpen

Storm-1152, een financieel gemotiveerde groep in ontwikkeling, viel op als ongebruikelijk goed georganiseerd en professioneel in het aanbod cybercriminaliteit als een service ('cybercrime-as-a-service', of CaaS). Opererend als een legitiem bedrijf, beheerde Storm-1152 de onrechtmatige service om CAPTCHA's op te lossen op klaarlichte dag.

"Als je niet zou weten dat het hier om een kwaadaardige organisatie ging, zou je deze kunnen vergelijken met elk ander SaaS-bedrijf." 
Patrice Boffa
Chief Customer Officer, Arkose Labs

"Als je niet zou weten dat het hier om een kwaadaardige organisatie ging, zou je deze kunnen vergelijken met elk ander SaaS-bedrijf", zegt Boffa, toevoegend dat AnyCAPTCHA.com (van Storm-1152) een openbare website was, cryptovaluta accepteerde bij betalingen via PayPal en zelfs een ondersteuningskanaal aanbood.

Deze service gebruikte bots om CAPTCHA-tokens in bulk te verzamelen om ze te verkopen aan klanten die vervolgens de tokens voor de verloopdatum gebruikten voor ongepaste doelen (zoals het in bulk maken van frauduleuze Microsoft-accounts om later te gebruiken in cyberaanvallen). De pogingen om frauduleuze accounts op te richten werden zo snel en efficiënt uitgevoerd, dat het team van Arkose Labs concludeerde dat de groep gebruikmaakte van geautomatiseerde machine learning-technologie. 

"Toen we merkten dat ze zich snel aanpasten aan onze beperkende maatregelen, realiseerden we ons dat hun aanvallen werden ondersteund door AI", zegt Boffa. "Vergeleken met andere aanvallers die we hebben gezien, maakte Storm-1152 op innovatieve manieren gebruik van AI." Arkose Labs- en Microsoft-teams observeerden een verandering van de bedrijfstactieken als een manier om aan te passen aan toegenomen detectie- en preventie-inspanningen.

Storm-1152 focuste aanvankelijk op het verlenen van services aan criminelen om beveiligingsmaatregelen van andere technologiebedrijven te omzeilen, met ​Microsoft​ als grootste slachtoffer. Storm-1152 bood services aan om verdedigingen te omzeilen​​ om frauduleuze accounts te maken. De groep bood een nieuwe service aan nadat deze de detectie opmerkte. In plaats van hulpprogramma's te bieden die de verdediging tegen het maken van accounts kunnen omzeilen, stapte de groep over op het gebruik van de eigen door bots verzamelde tokens om CAPTCHA's te verslaan en zelf frauduleuze Microsoft-accounts te maken om te verkopen.

Boffa: "Wat we hebben waargenomen bij Storm-1152 is typerend. Elke keer als je een bedreigingsactor vangt, probeert die iets anders. Ze voorblijven is een spel van kat en muis."

Een rechtszaak voorbereiden tegen Storm-1152

Toen de frauduleuze activiteit in maart 2023 een kookpunt bereikte, betrokken Cambric en Mesa de Digital Crimes Unit (DCU) van Microsoft om te bekijken wat er nog meer kon worden gedaan.

Als het externe handhavingsteam van Microsoft, houdt de DCU zich meestal alleen bezig met de meeste serieuze en persistente actoren. Het team focust zich op verstoring, op het verhogen van de kosten van de bedrijfsvoering. Aanklachten van criminele activiteiten en civiele rechtszaken zijn primaire hulpmiddelen.

Sean Farrell en Jason Lyons (respectievelijk Lead Counsel en Principal Manager of Investigations in het Microsoft DCU-team voor handhaving van cybercriminaliteit) kwamen samen met Maurice Mason (Senior Cyber Investigator) voor nader onderzoek. Ze coördineerden met de externe raadgever van Microsoft om een juridische strategie te ontwerpen en ze verzamelden het bewijs dat nodig was voor een civiele procedure. Inzichten kregen ze van meerdere Microsoft-teams en de bedreigingsinformatie die Arkose Labs verzamelde.

"Er was al veel werk verricht op het moment dat de DCU betrokken raakte", herinnert Lyons. "Het identiteitsteam en Arkose Labs hadden al belangrijk werk verricht in het identificeren en uitschakelen van accounts. Omdat het MSTIC de frauduleuze accounts kon koppelen aan bepaalde niveaus infrastructuur, dachten we dat het een goede rechtszaak zou zijn voor de DCU."

Enkele factoren voor het voorbereiden van een rechtszaak die de moeite waard is , is het hebben van wetten die kunnen worden gebruikt in een civiele procedure, het hebben van jurisdictie, en de bereidheid van het bedrijf om in het openbaar individuen te noemen.

Lyons nam deze factoren in overweging in een triageproces, waarbij de DCU de feiten en informatie onderzocht om te helpen bepalen of alles bij elkaar een goede rechtszaak zou maken. "Op basis van wat we doen, vragen we ons af of we onze tijd en energie willen besteden aan het ondernemen van actie", zegt hij. "Is de impact de bestede resources waard?" Het antwoord in dit geval was 'ja'.

Mason kreeg de taak om te werken aan de toewijzing van de Storm-1152-activiteiten (cybercriminaliteit als een service). "Het was mijn rol om bij te houden hoe Storm-1152 deze frauduleuze accounts verkocht aan andere actorgroepen en de individuen achter Storm-1152 te identificeren", legt Mason uit.

Door onderzoek, inclusief een uitgebreide beoordeling van socialmediapagina's en betalings-id's, waren Microsoft en Arkose Labs in staat om de individuen achter Storm-1152 te identificeren: Duong Dinh Tu, Linh Van Nguyễn (ook bekend als Nguyễn Van Linh) en Tai Van Nguyen.

De bevindingen laten zien dat deze individuen de code voor de onrechtmatige websites beheerden en schreven, gedetailleerde stapsgewijze instructies voor het gebruik van hun producten publiceerden via zelfstudievideo's en dat ze chatservices aanboden voor ondersteuning aan personen die hun frauduleuze services gebruikten. Vervolgens werden aanvullende verbindingen gemaakt voor de technische infrastructuur van de groep. Het team kon deze lokaliseren en toeschrijven aan hosts in de Verenigde Staten.

"Een van de redenen dat we deze DCU-acties voortzetten, is het afzwakken van de impact van deze cybercriminelen. We doen dit door rechtszaken aan te spannen of aanklachten in te dienen tegen criminelen, leidend tot arrestaties en vervolgingen."
Sean Farrell 
Lead Counsel, Cybercrime Enforcement Team, Microsoft

Farrell beschrijft de beslissing om de zaak voort te zetten: "We hadden geluk door het geweldige werk van de teams, die de actoren hadden geïdentificeerd die de infrastructuur en de criminele services hadden opgericht.

Een van de redenen dat we deze DCU-acties voortzetten, is het afzwakken van de impact van deze cybercriminelen. We doen dit door rechtszaken aan te spannen of aanklachten in te dienen tegen criminelen, leidend tot arrestaties en vervolgingen. Ik denk dat het een sterke boodschap uitstraalt wanneer je in staat bent om de actoren openbaar te identificeren in een juridisch pleidooi in de Verenigde Staten."​​

Storm-1152 duikt opnieuw op en een tweede juridische actie​

Hoewel het team een onmiddellijke afname zag na de verstoring van de infrastructuur in december 2023, dook Storm-1152 opnieuw op met een nieuwe site met de naam 'RockCAPTCHA' en met nieuwe instructievideo's om hun klanten te helpen. RockCAPTCHA richtte zich op Microsoft door services aan te bieden die specifiek ontworpen waren om de CAPTCHA-beveiligingsmaatregelen van Arkose Labs te verslaan. Door de actie in juli kon Microsoft de controle over deze website nemen en nog een keer uithalen naar de actoren.

De Arkose Cyber Threat Intelligence Research-eenheid (ACTIR) deed ook nader onderzoek naar de poging van Storm-1152 om hun services te herbouwen. Ze namen waar dat de groep gebruikmaakte van geavanceerdere tactieken om hun activiteiten te verhullen en detectie te ontwijken, inclusief een intensiever gebruik van kunstmatige intelligentie (AI). Deze heropleving is indicatief voor de verschuivingen die plaatsvinden in het bedreigingslandschap en demonstreert de geavanceerde mogelijkheden van aanvallers met kennis van AI. 

Een van de primaire gebieden waar Storm-1152 AI heeft geïntegreerd is in omzeilingstechnieken. Arkose Labs heeft de groep gebruik zien maken van AI om synthetisch menselijke handtekeningen te genereren.

Vikas Shetty, Head of Product bij Arkose Labs, leidt ACTIR, de eenheid die onderzoek doet naar bedreigingen. "Met AI-modellen kunnen aanvallers systemen trainen om deze menselijke handtekeningen te genereren, die vervolgens op schaal kunnen worden gebruikt voor aanvallen", zegt Shetty. "De complexiteit en verscheidenheid van deze handtekeningen maken het moeilijk voor detectiemethoden om bij te blijven."

Bovendien heeft Arkose Labs waargenomen dat Storm-1152 in landen zoals Vietnam en China probeerde om AI-engineers te werven en in dienst te nemen, inclusief masterstudenten, PhD-kandidaten en zelfs professoren.

"Deze individuen worden betaald om geavanceerde AI-modellen te ontwikkelen die geavanceerde beveiligingsmaatregelen kunnen omzeilen. De expertise van deze AI-engineers zorgt ervoor dat de modellen niet alleen effectief zijn, maar ook aanpasbaar aan ontwikkelende beveiligingsprotocollen zijn", zegt Shetty.

Standvastig blijven is essentieel om zinvol cybercriminele operaties te verstoren, net zoals het bijhouden van hoe cybercriminelen opereren en nieuwe technologieën gebruiken.

"We moeten standvastig blijven en acties ondernemen die het moeilijker maken voor criminelen om geld te verdienen", zegt Farrell. "Dit is waarom we een tweede rechtszaak hebben aangespannen, om de controle te krijgen over dit nieuwe domein. We moeten een bericht uitstralen dat we geen activiteiten tolereren die onze klanten en individuen online proberen te schaden."

Geleerde lessen en toekomstige implicaties

Reflecterend op de uitkomst van het onderzoek naar Storm-1152 en de verstoring, merkt Farrell op dat de zaak belangrijk is vanwege twee redenen. Ten eerste vanwege de impact op ons en andere betrokken bedrijven, ten tweede vanwege de inspanning van Microsoft om de impact van deze operaties te schalen, operaties die een deel zijn van het totale ecosysteem van cybercriminaliteit als een service.

Een duidelijke boodschap aan het publiek

"Door aan te tonen dat we de juridische middelen zo effectief hebben gebruikt tegen aanvallen met malware en operaties van natiestaten, zijn de activiteiten van de actor aanzienlijk beperkt of zelfs gesaneerd. Na de rechtszaak was de activiteit voor een lange tijd tot bijna nul teruggebracht", zegt Farrell. "Ik denk dat we hieruit kunnen afleiden dat je echt kunt ontmoedigen, en die boodschap is belangrijk voor het publiek; voor de impact en voor het grotere goed van de onlinecommunity."

Identiteit als nieuwe toegangsvector

Een andere belangrijke waarneming is een algemene verschuiving van bedreigingsactoren die zich focussen op het compromitteren van eindpunten naar een focus op identiteiten.  Bij de meeste aanvallen met ransomware zien we dat de bedreigingsactoren gebruikmaken van gestolen of gecompromitteerde identiteiten als de initiële aanvalsvector.
"Deze trend toont aan hoe identiteit de initiële toegangsvector wordt in toekomstige incidenten", zegt Mason. "Wanneer CISO's modelleren voor hun organisaties, willen ze misschien een serieuzer standpunt innemen over identiteit. Eerst focussen op identiteit, vervolgens op eindpunten."

Continue innovatie is essentieel

Het opnieuw opduiken van Storm-1152, met strategieën met AI, onderstreept de ontwikkelende natuur van cyberbedreigingen. Het geavanceerde gebruik van AI voor zowel omzeiling als voor het oplossen van uitdagingen, vormt aanzienlijke uitdagingen voor traditionele beveiligingsmaatregelen. Organisaties moeten zich aanpassen door geavanceerde, AI-aangedreven detectie- en beperkingstechnieken te integreren om deze bedreigingen voor te blijven.
"De zaak van Storm-1152 markeert de kritieke behoefte aan continue innovatie in cyberbeveiliging om de geavanceerde tactieken van AI-kundige aanvallers te bestrijden", zegt Shetty. "Nu deze groepen zich blijven ontwikkelen, moet ook de verdediging ontwikkeld worden die is ontworpen om tegen de groepen te beschermen."

We weten dat we nieuwe beveiligingsuitdagingen blijven tegenkomen in de toekomst, maar we zijn optimistisch over wat we hebben geleerd uit deze actie. Als lid van de verdedigende community, weten we dat we beter samenwerken in dienst van het algemeen belang, en dat continue samenwerking tussen de openbare en private sector essentieel blijft om te verdedigen tegen cybercriminaliteit.

Farrell: "De samenwerking van het functieoverschrijdende team voor deze actie (met een combinatie van bedreigingsinformatie, identiteitsbescherming, onderzoek, toewijzing, juridische actie en externe partnerschappen) is een model van hoe we zouden moeten opereren."

Verwante artikelen

De gatewayservices voor cybercriminaliteit verstoren

Ondersteund door bedreigingsinformatie van Arkose Labs, onderneemt Microsoft technische en juridische actie om een groep te verstoren die de voornaamste verkoper en maker van frauduleuze Microsoft-accounts is. Deze groep noemen we Storm-1152. We houden het in de gaten en nemen maatregelen om onze klanten te beschermen.
Meer informatie

Microsoft, Amazon en internationale wetshandhaving verenigen zich om fraude met technische ondersteuning te bestrijden

Bekijk hoe Microsoft en Amazon voor de allereerste keer hun krachten bundelen om illegale callcenters voor technische ondersteuning in India aan te pakken.
Meer informatie

Een kijkje in de strijd tegen hackers die ziekenhuizen verstoorden en levens in gevaar brachten

Neem een kijkje achter de schermen bij een gezamenlijke operatie van Microsoft, softwaremaker Fortra en Health-ISAC om gekraakte Cobalt Strike-servers te verstoren en het voor cybercriminelen moeilijker te maken om te opereren.
Meer informatie

Volg Microsoft Beveiliging