Trace Id is missing

Ação arrojada contra a fraude: Desfazer o Storm-1152

Partilhar
Uma série colorida de círculos com vários ícones.

Descrição geral

Em março de 2023, um importante cliente da Microsoft teve uma série de ciberataques de spam que causou indisponibilidades no sistema do cliente.

A causa? Uma onda de contas do Microsoft Outlook ou Hotmail criadas fraudulentamente a procurar recolher os benefícios dos serviços do cliente fornecidos como avaliações de teste a utilizadores potenciais, ainda que estas contas falsas não tivessem nenhuma intenção de alguma vez pagar por estes serviços. Como resultado, o cliente bloqueou todas as novas inscrições de contas de endereços do Microsoft Outlook ou Hotmail.

O que estava, de facto, por trás deste ataque era um projeto fraudulento maior localizado no Vietname, um grupo a que a Microsoft chama Storm-1152.

O Storm-1152 geria sites e páginas de redes sociais ilícitos, que vendiam contas Microsoft fraudulentas e ferramentas para contornar software de verificação de identidade em plataformas tecnológicas bem conhecidas. Os serviços do Storm-1152 atuam como uma entrada no cibercrime ao reduzir o tempo e o esforço necessários para os criminosos praticarem uma série de comportamentos criminosos e abusivos online. No total, o grupo criou, com o intuito de venda, cerca de 750 milhões de contas Microsoft fraudulentas, o que rendeu ao grupo milhões de dólares em receitas ilícitas e custou às empresas ainda mais para combater a sua atividade criminosa.

Vários grupos estavam a utilizar contas do Storm-1152 para se lançarem em ransomware, roubo de dados e extorsão, incluindo​ Octo Tempest, Storm-0252, Storm-0455 e outros. O seu negócio de venda de contas tornou-o um dos maiores fornecedores de cibercrime como serviço online.

A Microsoft estava a monitorizar o aumento desta atividade maliciosa desde 2022, aumentando a utilização de algoritmos de aprendizagem automática para prevenir e detetar padrões observados para a criação destas contas fraudulentas. No entanto, a primavera de 2023 marcou um ponto de inflexão devido ao abuso crescente de plataformas da Microsoft e de parceiros. Era necessária uma ação mais agressiva, e foi formada uma equipa multidisciplinar entre a Microsoft e o nosso parceiro Arkose Labs.

Imediatamente após a ação, observámos uma diminuição de aproximadamente 60% no tráfego de inscrições. Esta diminuição corresponde aproximadamente a 60% ou mais de inscrições que os nossos algoritmos ou parceiros identificaram mais tarde como abusivas e que suspendemos subsequentemente dos serviços Microsoft. 

A iniciativa coordenada resultou na Unidade de Crimes Digitais (DCU) da Microsoft empreendera primeiraação nos tribunais em dezembro de 2023 para confiscar e encerrar os sites que o Storm-1152 estava a utilizar para vender os seus serviços. Imediatamente após a ação, observámos uma diminuição de aproximadamente 60% no tráfego de inscrições. Esta diminuição corresponde aproximadamente a 60% ou mais de inscrições que os nossos algoritmos ou parceiros identificaram mais tarde como abusivas e que suspendemos subsequentemente dos serviços Microsoft.​ A 23 de julho, demos entrada a uma segunda ação civil para desfazer nova infraestrutura que o grupo tinha tentado montar após a nossa ação de dezembro.

Este relatório de ameaças emergentes mostra os bastidores de como a ação decorreu e destaca a importância da colaboração na indústria para atacar ciberameaças. O caso é um exemplo de como a indústria pode utilizar canais jurídicos para ajudar a dissuadir outros grupos e manter indivíduos seguros online.​ Também é relevante para a importância de disrupções em curso e como as ações em tribunal continuam a ser um método eficaz contra cibercriminosos, mesmo quando mudam de táticas. Ao fim e ao cabo, nenhuma operação é feita só uma vez.

A descoberta e a identificação do Storm-1152

Em fevereiro de 2023, Matthew Mesa, Investigador de Segurança Superior no Centro de Informações sobre Ameaças da Microsoft (MSTIC), observou um padrão crescente de contas do Microsoft Outlook a ser utilizadas em campanhas de phishing em massa. Na sua função, Mesa analisa campanhas de e-mail e procura atividade suspeita. À medida que continuou a ver um aumento na utilização de contas fraudulentas, perguntou-se a si mesmo: “estas contas podem estar relacionadas umas com as outras?”

Criou imediatamente um novo perfil de ator de ameaças, Storm-1152, e começou a monitorizar a sua atividade e sinalizou as suas descobertas à equipa de Identidade da Microsoft. Shinesa Cambric, Gestora de Produtos Superior da Equipa de Defesa Contra Abuso e Fraude da Microsoft, também estava a monitorizar esta atividade maliciosa e tinha reparado num aumento em contas automatizadas (bots) a tentar passar pelos desafios de CAPTCHA utilizados para proteger o processo de inscrição em serviços para consumidores da Microsoft.​​

“A minha equipa concentra-se tanto na nossa experiência de consumidor como na nossa experiência empresarial, o que significa que estamos a proteger milhares de milhões de contas todos os dias contra fraude e abuso,” explica Cambric. “A nossa função é compreender as metodologias dos atores de ameaças para que possamos evitar ataques e prevenir o acesso aos nossos sistemas. Estamos sempre a pensar em prevenção, sobre como podemos parar maus atores no início.”

O que lhe chamou a atenção foi o nível crescente de fraude relacionada com a atividade. Quando várias partes, parceiros da Microsoft e partes da nossa cadeia de fornecimento, comunicaram o dano resultante destas contas Microsoft criadas por bots, Cambric começou a batalha.

Juntamente com a Arkose Labs, fornecedor de defesa de cibersegurança e gestão de bots, a equipa de Cambric trabalhou para identificar e desativar as contas fraudulentas do grupo e partilhou detalhes do seu trabalho com colegas de informações sobre ameaças na MSTIC da Microsoft e a unidade de Pesquisa de Informações Sobre Ameaças da Arkose (ACTIR).

“A nossa função é compreender as metodologias dos atores de ameaças para que possamos evitar ataques e prevenir o acesso aos nossos sistemas. Estamos sempre a pensar em prevenção, sobre como podemos parar maus atores no início.” 
Shinesa Cambric 
Gestora de Produtos Superior, Equipa de Defesa Contra Abuso e Fraude, Microsoft 

“Inicialmente, a nossa função era proteger a Microsoft contra a criação maliciosa de contas,” explica Patrice Boffa, Diretora de Clientes da Arkose Labs, “Mas quando o Storm-1152 foi identificado como grupo, também começámos a recolher muitas das informações sobre ameaças.”

Compreender o Storm-1152

Enquanto grupo com motivações financeiras em desenvolvimento, o Storm-1152 destacou-se como sendo invulgarmente bem organizado e profissional com as suas ofertas de cibercrime como serviço (CaaS). Operando como uma empresa legítima, o Storm-1152 geria o seu serviço ilícito de resolução de CAPTCHA às claras.

“Se não soubéssemos que esta era uma organização maliciosa, podíamos compará-la com qualquer outra empresa de SaaS,” 
Patrice Boffa
Diretora de Clientes, Arkose Labs

“Se não soubéssemos que esta era uma organização maliciosa, podíamos compará-la com qualquer outra empresa de SaaS,” diz Boffa, acrescentando que o AnyCAPTCHA.com do Storm-1152 tinha um site exposto ao público, aceitava pagamentos em criptomoeda através do PayPal e até oferecia um canal de suporte.

Este serviço utilizava bots para recolher tokens de CAPTCHA em massa, que eram vendidos a clientes, que depois utilizavam os tokens para objetivos abusivos (como a criação em massa de contas Microsoft fraudulentas para utilização posterior em ciberataques) antes de expirarem. As tentativas de configurar contas fraudulentas aconteciam com tal rapidez e eficiência que a equipa da Arkose Labs concluiu que o grupo estava a utilizar tecnologia de aprendizagem automática automatizada. 

“Quando nos deparámos com a rapidez da adaptação aos nossos esforços de mitigação, percebemos que muitos dos seus ataques eram baseados em IA,” disse Boffa. “Comparado com outros adversários que vimos, o Storm-1152 utilizou IA de formas inovadoras.” As equipas da Arkose Labs e da Microsoft puderam observar uma alteração na táticas comerciais como forma de adaptação às iniciativas reforçadas de deteção e prevenção.

Inicialmente, o Storm-1152 concentrava-se em fornecer serviços a criminosos para contornar defesas de segurança para outras empresas de tecnologia, coma ​Microsoft​ a ser a maior vítima. O Storm-1152 oferecia serviços paracontornar​​ defesas para criar contas fraudulentas e, depois, ofereceu um novo serviço após sentir deteção. Em vez de fornecer ferramentas para contornar as defesas de criação de contas, o grupo mudou para utilizar os seus próprios tokens capazes de passar pelo CAPTCHA recolhidos por bots para criar contas Microsoft fraudulentas para revenda.

“O que observámos com o Storm-1152 é típico,” diz Boffa. Sempre que se apanha um ator de ameaças, este tenta outra coisa. Manter-se um passo à frente dele é jogar ao gato e ao rato.”

Criar um caso jurídico contra o Storm-1152

Quando a atividade fraudulenta atingiu um nível de crise em março de 2023, Cambric e Mesa envolveram a Unidade de Crimes Digitais (DCU) da Microsoft para ver o que mais se podia fazer.

Enquanto ramo de imposição externa da Microsoft, a DCU normalmente só persegue os atores mais sérios ou persistentes. Concentra-se na disrupção, aumentar o custo de operar, para a qual as referências criminosas e/ou ações civis nos tribunais são as principais ferramentas.

Sean Farrell, Advogado Líder da equipa de Imposição de Cibercrime na DCU da Microsoft, Jason Lyons, Gestor Principal de Investigações na Equipa de Imposição de Cibercrime da DCU na Microsoft e Maurice Mason, Investigador Cibernético Superior, juntaram-se para investigar mais. Coordenaram com os advogados externos da Microsoft para conceber uma estratégia jurídica e reuniram as provas necessárias para dar entrada a uma ação civil nos tribunais, obtendo informações de várias equipas na Microsoft e as informações sobre ameaças que a Arkose Labs estava a recolher.

“Muito do trabalho já tinha sido feito quando a DCU se envolveu”, lembra Lyons. “A equipa de Identidade e a Arkose Labs já tinham feito trabalho significativo na identificação e desativação de contas, e uma vez que a MSTIC foi capaz de ligar as contas fraudulentas a determinados níveis de infraestrutura, pensámos que este seria um bom caso jurídico para a DCU.”

Alguns dos fatores que contribuem para a formação de um caso que vale a pena processar incluem ter leis que podem se reutilizadas numa ação civil, ter jurisdição e a disponibilidade da empresa para divulgar publicamente o nome de indivíduos.

Lyons comparou a consideração destes fatores a um processo de triagem, em que a DCU examinou os factos e informações para ajudar a determinar se tudo constituía um bom caso. “Com base no que fazemos, perguntamos se queremos dedicar o nosso tempo e energia para agir,” diz. “O impacto vale os recursos que temos de utilizar?” A resposta neste caso era sim.

Mason foi incumbido de trabalhar na atribuição das atividades de cibercrime como serviço do Storm-1152. “A minha função foi monitorizar como o Storm-1152 vendia estas contas fraudulentas a outros grupos atores de ameaças e identificar os indivíduos por trás do Storm-1152,” explica Mason.

Através do seu trabalho de investigação, que incluiu uma revisão detalhada das páginas de redes sociais e dos identificadores de pagamento, a Microsoft e a Arkose Labs puderam identificar os indivíduos por trás do Storm-1152: Duong Dinh Tu, Linh Van Nguyễn (também conhecido como Nguyễn Van Linh) e Tai Van Nguyen.

As suas conclusões mostram que estes indivíduos operavam e escreviam o código para os sites ilícitos, publicavam instruções detalhadas passo a passo sobre como utilizar os seus produtos através de tutoriais em vídeo e forneciam serviços de chat para ajudar aqueles que utilizavam os seus serviços fraudulentos. Foram depois feitas ligações adicionais à infraestrutura técnica do grupo, que a equipa pôde localizar em anfitriões nos EUA.

“Uma das razões para procurarmos estas ações na DCU é para dissuadir o impacto destes cibercriminosos. Fazemos isto ao dar entrada a processos legais ou ao fornecer referências criminosas que levam a detenções e ações judiciais.”
Sean Farrell 
Advogado Líder, Equipa de Imposição de Cibercrime; Microsoft

Descrevendo a decisão para avançar com o caso, Farrell diz, “Aqui tivemos sorte devido ao grande trabalho das equipas, que tinham identificado os atores que tinham montado a infraestrutura e os serviços criminosos.

Uma das razões para procurarmos estas ações na DCU é para dissuadir o impacto destes cibercriminosos. Fazemos isto ao dar entrada a processos legais ou ao fornecer referências criminosas que levam a detenções e ações judiciais. Acho que dá um exemplo forte quando se é capaz de identificar os atores e identificá-los publicamente em processos jurídicos nos Estados Unidos.”​​​

O Storm-1152 reemerge e uma segunda ação judicial​​

Embora a equipa tenha visto uma diminuição imediata em infraestrutura depois da disrupção de dezembro de 2023, o Storm-1152 reemergiu a lançar um novo site chamado RockCAPTCHA e novos vídeos de procedimentos para ajudar os seus clientes. O RockCAPTCHA visava a Microsoft ao oferecer serviços especificamente concebidos para tentar passar pelas medidas de segurança de CAPTCHA da Arkose Labs. A ação de julho permitiu à Microsoft assumir o controlo deste site e dar outro golpe aos atores.

A Unidade de Investigação de Informações sobre Ciberameaças da Arkose (ACTIR) também olhou mais atentamente para a forma como o Storm-1152 estava a tentar reedificar os seus serviços. Observou o grupo a utilizar táticas mais sofisticadas, incluindo a intensificação da sua utilização de inteligência artificial (IA) para ofuscar a sua atividade e evitar a deteção. Este ressurgimento é sintomático das mudanças a ocorrer no panorama de ameaças e demonstra as capacidades avançadas dos atacantes versados em tecnologias de IA. 

Uma das principais áreas em que o Storm-1152 integrou IA foi em técnicas de evasão. A Arkose Labs viu o grupo a utilizar IA para gerar sinteticamente assinaturas aparentemente humanas.

Vikas Shetty é o diretor de produto da Arkose Labs e lidera a sua unidade de investigação de ameaças, ACTIR. “A utilização de modelos de IA permite aos atacantes preparar sistemas que emitem estas assinaturas aparentemente humanas, que podem depois ser utilizadas em escala para ataques,” disse Shetty. “A complexidade e a variedade destas assinaturas dificulta o acompanhamento dos métodos de deteção tradicionais.”

Além disso, a Arkose Labs observou o Storm-1152 a tentar recrutar engenheiros de IA, incluindo estudantes de mestrado, candidatos a doutoramento e até professores em países como o Vietname e a China.

“Estes indivíduos são pagos para desenvolver modelos de IA avançados que podem contornar medidas de segurança sofisticadas. Os conhecimentos destes engenheiros de IA garantem que os modelos não são apenas eficazes, mas também adaptáveis a protocolos de segurança em evolução,” disse Shetty.

Permanecer persistente é crucial para interromper operações cibercriminosas de forma significativa, tal como monitorizar como os cibercriminosos operam e utilizam novas tecnologias.

“Temos de continuar a ser persistentes e a realizar ações que tornam mais difícil para os criminosos ganharem dinheiro,” disse Farrell. “Por isso é que demos entrada a uma segunda ação judicial para assumir o controlo deste novo domínio. Precisamos de mostrar que não vamos tolerar atividade que procure prejudicar os nossos clientes e indivíduos online.”

Lições aprendidas e implicações futuras

Refletindo sobre o resultado da investigação e da disrupção do Storm-1152, Farrell nota que o caso é importante não só devido ao seu impacto para nós e para as outras empresas afetadas, mas também devido ao esforço da Microsoft para dimensionar o impacto destas operações, que fazem parte do ecossistema de cibercrime como serviço geral.

Um exemplo forte para o público

“Mostrar que podemos aplicar os meios jurídicos que utilizámos tão eficazmente para ataques de malware e operações de estados-nações levou a uma mitigação ou remediação significativa da atividade do ator, que caiu para quase zero durante bastante tempo depois de darmos entrada ao processo legal,” diz Farrell. “Acho que com isto vimos que se pode ter verdadeira dissuasão, e o exemplo passado ao público é importante, não só pelo impacto, mas também pelo bem maior da comunidade virtual.”

Novos vetores de acesso na identidade

Outra observação importante tem sido uma mudança geral de os atores de ameaças a tentar comprometer pontos finais para atacarem identidades.  Vemos com a maioria dos ataques de ransomware que os atores de ameaças estão a tirar partido de Identidades roubadas ou comprometidas como vetor de ataque inicial.
“Esta tendência está a mostrar como a identidade passará a ser o principal vetor de acesso inicial para incidentes futuros,” diz Mason. “Os diretores de segurança de informações querem tomar uma posição mais séria sobre a identidade ao modelar para as suas organizações: concentrar-se mais no lado da identidade primeiro e depois passar para os pontos finais.”

Inovação contínua é essencial

A reemergência do Storm-1152 e as suas estratégias com IA sublinha a natureza em evolução das ciberameaças. A sua utilização sofisticada de IA para evasão e solução de desafios constitui desafios significativos para medidas de segurança tradicionais. As organizações têm de se adaptar ao incorporar técnicas avançadas de deteção e mitigação baseadas em IA para se manterem um passo à frente destas ameaças.
“O caso do Storm-1152 realça a necessidade crítica de inovação contínua em cibersegurança para contrariar as táticas sofisticadas utilizadas por atacantes proficientes em IA,” diz Shetty. “À medida que estes grupos continuam a evoluir, também têm de evoluir as defesas concebidas para proteger contra os mesmos.”

Sabemos que continuaremos a enfrentar novos desafios de segurança no futuro, mas estamos otimistas sobre o que aprendemos com esta ação. Como membro da comunidade de defensores, sabemos que trabalhamos melhor em conjunto ao serviço do bem comum e que a colaboração contínua entre os setores público e privado permanece essencial face ao cibercrime.

Farrell diz, “A colaboração entre equipas desta ação, a combinar os esforços de informações sobre ameaças, proteção de identidade, investigação, atribuição, ação nos tribunais e parcerias externas, é um modelo de como devemos operar.”

Artigos relacionados

Interromper os serviços de porta de entrada ao cibercrime

A Microsoft, com o apoio da Arkose Labs em termos de informações sobre ameaças, está a tomar medidas técnicas e legais para impedir o principal vendedor e criador de contas Microsoft fraudulentas, um grupo que designámos como Storm-1152. Estamos atentos, tomámos conhecimento e iremos atuar para proteger os nossos clientes.
Saber mais

A Microsoft, a Amazon e as autoridades policiais internacionais unem-se para combater a fraude no suporte técnico

Veja como a Microsoft e a Amazon uniram forças pela primeira vez para desmantelar centros de atendimento telefónico de suporte técnico ilegais em toda a Índia.
Saber mais

Conheça a luta contra os hackers que causaram interrupções em hospitais e puseram vidas em risco

Conheça os bastidores de uma operação conjunta entre a Microsoft, o fabricante de software Fortra e a Health-ISAC para interromper os servidores Cobalt Strike pirateados e dificultar as operações dos cibercriminosos.
Saber mais

Siga o Microsoft Security