Trace Id is missing

Odvážna akcia proti podvodu: Odstavenie skupiny Storm-1152

Zdieľať
Farebné pole kruhov s rôznymi ikonami.

Prehľad

V marci 2023 zaznamenal veľký zákazník spoločnosti Microsoft sériu kybernetických útokov nevyžiadanou poštou, ktorá mu spôsobila výpadky systému.

Aká bola príčina? Záplava podvodne vytvorených kont v službách Microsoft Outlook a Hotmail s cieľom využiť výhody služieb zákazníka v podobe skúšobných verzií poskytovaných potenciálnym používateľom, hoci tieto falošné kontá nemali v úmysle za uvedené služby nikdy zaplatiť. V dôsledku toho zákazník zablokoval všetky nové prihlásenia do kont z adries v službách Microsoft Outlook a Hotmail.

V skutočnosti stála za týmto útokom väčšia podvodná spoločnosť so sídlom vo Vietname, skupina, ktorú spoločnosť Microsoft nazýva Storm-1152.

Storm-1152 prevádzkovala nelegálne webové lokality a stránky na sociálnych sieťach, na ktorých predávala podvodné kontá Microsoft a nástroje slúžiace na obchádzanie softvéru na overenie identity v rámci známych technologických platforiem. Služby skupiny Storm 1152 otvárajú dvere kybernetickým zločinom, pretože umožňujú zločincom rýchlejšie a ľahšie vykonávať online veľké množstvo kriminálnych a škodlivých činností. Celkovo skupina vytvorila na účel predaja približne 750 miliónov podvodných kont Microsoft, ktoré jej priniesli nelegálne príjmy v miliónoch dolárov, pričom spoločnosti musia vynakladať ešte viac peňazí na boj proti tejto kriminálnej činnosti.

Ukázalo sa, že na zapojenie do ransomwaru, krádeže údajov a vydierania využívali skupinu Storm-1152 viaceré skupiny, ako napríklad​ Octo Tempest, Storm-0252, Storm-0455 a ďalšie. Predajom kont sa stala jedným z najväčších poskytovateľov služby CaaS online.

Spoločnosť Microsoft sledovala nárast tejto škodlivej činnosti od roku 2022 a zintenzívnila využívanie algoritmov strojového učenia, ktorými blokovala a odhaľovala pozorované vzorce vytvárania týchto podvodných kont. Na jar 2023 však situácia v dôsledku eskalácie zneužívania platforiem spoločnosti Microsoft a jej partnerov vyvrcholila. Vyžiadalo si to agresívnejšie kroky a vznikol viacfunkčný tím zložený zo spoločnosti Microsoft a partnerskej spoločnosti Arkose Labs.

Ihneď po vykonaní opatrení sme pozorovali približne 60 % pokles aktivity prihlasovania. Tento pokles sa v podstate zhoduje s minimálne 60 % prihlásení, ktoré naše algoritmy alebo algoritmy našich partnerov neskôr vyhodnotili ako zneužívajúce a ktorým sme následne zablokovali prístup do služieb Microsoft. 

Výsledkom koordinovaného úsilia bolo to, že Jednotka spoločnosti Microsoft na boj proti digitálnym zločinom v decembri 2023prvýkrátpodala žalobu na zhabanie a vypnutie webových lokalít, ktoré skupina Storm-1152 používala na predaj svojich služieb. Ihneď po vykonaní opatrení sme pozorovali približne 60 % pokles aktivity prihlasovania. Tento pokles sa v podstate zhoduje s minimálne 60 % prihlásení, ktoré naše algoritmy alebo algoritmy našich partnerov neskôr vyhodnotili ako zneužívajúce a ktorým sme následne zablokovali prístup do služieb Microsoft. 23. júla sme podali druhú občianskoprávnu žalobu s cieľom odstaviť novú infraštruktúru, ktorú sa skupina pokúsila vytvoriť po našej súdnej žalobe z decembra.

V tejto zostave o hrozbách sa opisuje zákulisie krokov, ktoré sme podnikli, a zdôrazňuje význam spolupráce odvetvia v boji proti kybernetickým hrozbám. Tento prípad je príkladom toho, ako odvetvie dokáže využiť právne kroky na odrádzanie iných skupín a ochranu jednotlivcov v online priestore. Vypovedá aj o dôležitosti neustáleho narúšania takýchto aktivít a o tom, že právne kroky sú účinným spôsobom boja proti kyberzločincom aj vtedy, keď zmenia taktiku. Koniec koncov, žiadnu operáciu nestačí urobiť len raz.

Odhalenie a identifikácia skupiny Storm-1152

Vo februári 2023 Matthew Mesa, hlavný bezpečnostný výskumník v Centre spoločnosti Microsoft pre analýzu hrozieb (MSTIC), spozoroval čoraz častejšie sa vyskytujúci vzorec využívania kont v službe Microsoft Outlook na masové kampane neoprávneného získavania údajov. Jeho úlohou je analyzovať e-mailové kampane a vyhľadávať podozrivé aktivity. Keď si začal všímať nárast využívania podvodných kont, položil si otázku, či by všetky dané kontá nemohli spolu súvisieť.

Okamžite vytvoril nový profil aktéra hrozieb, Storm-1152, začal sledovať jeho aktivitu a svoje zistenia označil pre tím spoločnosti Microsoft zaoberajúci sa identitou. Shinesa Cambricová, hlavná produktová manažérka tímu spoločnosti Microsoft zaoberajúceho sa bojom proti zneužívaniu a podvodom, túto škodlivú aktivitu tiež sledovala a všimla si nárast automatizovaných kont (botov), ktoré sa pokúšajú obísť test CAPTCHA používaný na ochranu procesu prihlasovania do zákazníckych služieb spoločnosti Microsoft.​​

„Môj tím sa zameriava na zákazníkov, ako aj našu spoločnosť, čo znamená, že každodenne chránime miliardy kont pred podvodmi a zneužitím“, vysvetľuje. „Našou úlohou je pochopiť metodiky aktérov hrozieb, aby sme mohli presmerovať útoky a zabrániť prístupu do našich systémov. Vždy myslíme na prevenciu, na to, ako môžeme zastaviť zločincov už na začiatku.“

Jej pozornosť upútala zvyšujúca sa úroveň podvodov súvisiacich s danou aktivitou. Keď viaceré strany (partneri spoločnosti Microsoft, ako aj subjekty nášho dodávateľského reťazca) nahlásili škody spôsobené týmito kontami Microsoft vytvorenými botmi, podnikla príslušné kroky.

Spoločne s poskytovateľom ochrany kybernetickej bezpečnosti a správy botov, spoločnosťou Arkose Labs, jej tím identifikoval a zrušil podvodné kontá skupiny a podrobnosti o tomto kroku poskytol kolegom z oddelenia pre analýzu hrozieb v centre MSTIC spoločnosti Microsoft a Výskumnej jednotke spoločnosti Arkose pre analýzu kybernetických hrozieb (ACTIR).

„Našou úlohou je pochopiť metodiky aktérov hrozieb, aby sme mohli presmerovať útoky a zabrániť prístupu do našich systémov. Vždy myslíme na prevenciu, na to, ako môžeme zastaviť zločincov už na začiatku.“ 
Shinesa Cambricová 
Hlavná produktová manažérka tímu zaoberajúceho sa bojom proti zneužívaniu a podvodom, Microsoft 

„Pôvodne bolo našou úlohou chrániť spoločnosť Microsoft pred vytváraním škodlivých kont,“ vysvetľuje Patrice Boffa, hlavný manažér vzťahov so zákazníkmi v spoločnosti Arkose Labs, „ale keď sa identifikovala skupina Storm-1152, začali sme vykonávať aj analýzu hrozieb.“

Podstata skupiny Storm-1152

Medzi novými finančne motivovanými skupinami vynikala Storm-1152 svojou nezvyčajne dobrou organizovanosťou a profesionalitou pri ponúkaní služby CaaS. Storm-1152 pôsobila ako legitímna spoločnosť a svoje služby nezákonného obchádzania testu CAPTCHA poskytovala všetkým na očiach.

„Keby ste nevedeli, že ide o škodlivú organizáciu, pokojne by ste ju mohli porovnať s akoukoľvek inou spoločnosťou ponúkajúcou službu SaaS,“ 
Patrice Boffa
Hlavný manažér vzťahov so zákazníkmi, Arkose Labs

„Keby ste nevedeli, že ide o škodlivú organizáciu, pokojne by ste ju mohli porovnať s akoukoľvek inou spoločnosťou ponúkajúcou službu SaaS,“ hovorí Boffa a dodáva, že AnyCAPTCHA.com skupiny Storm-1152 bola verejnou webovou lokalitou, ktorá prijímala platby v kryptomene cez PayPal, a dokonca ponúkala podporu.

Táto služba využívala boty na hromadné získavanie tokenov CAPTCHA, ktoré sa predávali zákazníkom, a tí ich potom pred uplynutím platnosti používali na nevhodné účely (napríklad hromadné vytváranie podvodných kont Microsoft na neskoršie použitie pri kybernetických útokoch). Pokusy o zakladanie podvodných kont sa diali s takou rýchlosťou a efektívnosťou, že tím spoločnosti Arkose Labs dospel k záveru, že skupina využíva automatizovanú technológiu strojového učenia. 

„Keď sme si uvedomili, akým tempom sa prispôsobujú nášmu úsiliu o zmiernenie útokov, pochopili sme, že množstvo ich útokov uskutočňuje umelá inteligencia,“ uviedol Boffa. „Na rozdiel od iných nepriateľov, s ktorými sme sa stretli, využívala skupina Storm-1152 umelú inteligenciu inovatívne.“ Tímy spoločností Arkose Labs a Microsoft dokázali vypozorovať zmenu obchodnej taktiky, ktorou sa prispôsobovala čoraz intenzívnejšiemu úsiliu o odhaľovanie a predchádzanie útokom.

Pôvodne sa skupina Storm-1152 zameriavala na poskytovanie služieb zločincom, ktorí obchádzali bezpečnostné opatrenia iných technologických spoločností, pričomspoločnosť ​Microsoft​ bola jej najväčšou obeťou. Skupina Storm-1152 poskytovala službyna obchádzanie​​ ochrany, aby bolo možné vytvárať podvodné kontá, a potom, keď zistila odhalenie, ponúkala novú službu. Namiesto ponúkania nástrojov na obídenie ochrany pri vytváraní kont sa skupina zamerala na používanie tokenov obchádzajúcich test CAPTCHA získaných pomocou vlastných botov, na základe ktorých mohla vytvárať podvodné kontá Microsoft na predaj.

„To, čo sme videli v prípade skupiny Storm-1152, je typické,“ hovorí Boffa. „Vždy, keď aktéra hrozieb nachytáte, skúsi niečo iné. Byť jeden krok pred nimi je ako hra na mačku a myš.“

Príprava žaloby skupiny Storm-1152

Keď podvodná aktivita v marci 2023 vyvrcholila, Cambricová a Mesa sa pridali k Jednotke spoločnosti Microsoft na boj proti digitálnym zločinom (DCU), aby zistili, čo sa ešte dá robiť.

Ako predĺžená ruka zákona sa Jednotka spoločnosti Microsoft na boj proti digitálnym zločinom zvyčajne zaoberá iba najnebezpečnejšími alebo najvytrvalejšími aktérmi. Sústreďuje sa na odstavenie (zvyšovanie nákladov na podnikanie), na čo sú primárnymi nástrojmi postúpenie veci orgánom presadzovania práva a/alebo občianskoprávne žaloby.

Ďalšie vyšetrovanie videli Sean Farrell, hlavný poradca tímu pre presadzovanie práva v oblasti kyberzločinu v Jednotke spoločnosti Microsoft na boj proti digitálnym zločinom, Jason Lyons, hlavný manažér pre vyšetrovania v tíme pre presadzovanie práva v oblasti kyberzločinu v Jednotke spoločnosti Microsoft na boj proti digitálnym zločinom a Maurice Mason, hlavný vyšetrovateľ kyberzločinov. Svoje úsilie koordinovali s externými poradcami spoločnosti Microsoft, s ktorými navrhli právnu stratégiu a na základe poznatkov viacerých tímov spoločnosti Microsoft a analýz hrozieb uskutočňovaných spoločnosťou Arkose Labs zostavili dôkazný materiál potrebný na podanie občianskoprávnej žaloby.

„V čase, keď sa do procesu zapojila Jednotka na boj proti digitálnym zločinom, už bolo za nami množstvo práce,“ spomína si Lyons. „Tím pre identitu a spoločnosť Arkose Labs už vykonali množstvo práce v oblasti identifikácie a zablokovania kont, a keďže centrum MSTIC dokázalo prepojiť podvodné kontá s niektorými úrovňami infraštruktúry, vedeli sme, že máme dostatok podkladov na to, aby Jednotka na boj proti digitálnym zločinom mohla podať žalobu.“

K faktorom, vďaka ktorým je možné pripraviť vec tak, aby malo zmysel s ňou predstúpiť pred súd, patria napríklad zákony, o ktoré sa je možné oprieť v občianskoprávnej žalobe, jurisdikcia a ochota spoločnosti verejne pomenovať jednotlivcov.

Lyons prirovnal zváženie týchto faktorov k procesu selektovania, pri ktorom Jednotka na boj proti digitálnym zločinom preskúmala skutočnosti a informácie, aby dokázala určiť, či so svojou vecou dokáže uspieť. „Vzhľadom na podstatu našej práce si kladieme otázku, či sa oplatí vynaložiť čas a energiu na podanie žaloby,“ hovorí. „Bude výsledok stáť za prostriedky, ktoré na ňu musíme vynaložiť?“ V tomto prípade bola odpoveď kladná.

Atribúciou aktivít CaaS skupiny Storm-1152 bol poverený Mason. „Mojou úlohou bolo vysledovať, ako skupina Storm-1152 predávala tieto podvodné kontá iným skupinám aktérov hrozieb, a identifikovať jednotlivcov stojacich za skupinou Storm-1152,“ vysvetľuje.

Vďaka vyšetrovaniu, ktoré zahŕňalo aj dôkladné preskúmanie stránok na sociálnych médiách a identifikátorov platieb, dokázali spoločnosti Microsoft a Arkose Labs identifikovať jednotlivcov stojacich za skupinou Storm-1152, ktorými boli Duong Dinh Tu, Linh Van Nguyễn (známy aj ako Nguyễn Van Linh) a Tai Van Nguyen.

Z ich zistení vyplýva, že tieto osoby prevádzkovali nelegálne webové lokality a napísali ich kód, publikovali videokurzy s podrobnými pokynmi na používanie svojich produktov a poskytovali chatové služby určené na pomoc používateľom ich podvodných služieb. Potom sa zistili ďalšie prepojenia na technickú infraštruktúru skupiny, ktorú tím dokázal presne lokalizovať v hostiteľoch v USA.

„Tieto kroky v Jednotke na boj proti digitálnym zločinom podnikáme okrem iného s cieľom odradiť takýchto kyberzločincov. Podávame žaloby alebo postupujeme veci orgánom presadzovania práva, čo vedie k zatknutiam a stíhaniam.“
Sean Farrell 
Hlavný poradca tímu pre presadzovanie práva v oblasti kyberzločinu, Microsoft

O rozhodnutí postúpiť vec na súd Farrell hovorí: „V tomto prípade sme mali šťastie, pretože tímy odviedli skvelú prácu a identifikovali aktérov, ktorí zriadili infraštruktúru a poskytovali nelegálne služby.

Tieto kroky v Jednotke na boj proti digitálnym zločinom podnikáme okrem iného s cieľom odradiť takýchto kyberzločincov. Podávame žaloby alebo postupujeme veci orgánom presadzovania práva, čo vedie k zatknutiam a stíhaniam. Myslím, že sa tým vysiela veľmi silný odkaz, že dokážeme identifikovať aktérov a verejne ich identifikovať pri verejných súdnych konaniach v USA.“​​

Znovuobjavenie skupiny Storm-1152 a druhá žaloba​

Hoci tím po odstavení z decembra 2023 zaznamenal v infraštruktúre okamžitý pokles, skupina Storm-1152 sa znovu objavila na novej lokalite s názvom RockCAPTCHA aj s novými videami na pomoc svojim zákazníkom. RockCAPTCHA sa zameriavala na spoločnosť Microsoft, keďže ponúkala služby navrhnuté konkrétne na obídenie bezpečnostných opatrení CAPTCHA spoločnosti Arkose Labs. Žaloba z júla umožnila spoločnosti Microsoft prevziať kontrolu na touto webovou lokalitou a uštedriť aktérom ďalší úder.

Výskumná jednotka spoločnosti Arkose pre analýzu kybernetických hrozieb (ACTIR) podrobne preskúmala aj to, ako sa skupina Storm-1152 pokúšala pretvoriť svoje služby. Vypozorovala, že skupina používa sofistikovanejšiu taktiku, súčasťou ktorej bolo intenzívnejšie využívanie umelej inteligencie, zahmlievanie jej aktivity a unikanie odhaľovaniu. Toto oživenie poukazuje na zmeny v prostredí hrozieb a pokročilé schopnosti útočníkov zbehlých v technológiách umelej inteligencie. 

Jednou z hlavných oblastí, v ktorých skupina Storm-1152 využívala umelú inteligenciu, boli únikové techniky. Spoločnosť Arkose Labs pozorovala, že skupina používa umelú inteligenciu na syntetické vytváranie ľudských podpisov.

Vikas Shetty je produktovým šéfom spoločnosti Arkose Labs a vedie jej výskumnú jednotku pre hrozby, ACTIR. „Využívanie modelov umelej inteligencie umožňuje útočníkom vytrénovať systémy vydávajúce takéto ľudské podpisy, ktoré je potom možné použiť vo veľkom rozsahu na útoky,“ povedal. „Zložitosť a rozmanitosť týchto podpisov spôsobuje, že je náročné odhaľovať ich bežnými metódami.“

Okrem toho spoločnosť Arkose Labs vypozorovala, že skupina Storm-1152 sa v krajinách ako Vietnam a Čína pokúša prijať a zamestnať inžinierov pre umelú inteligenciu, ako napríklad študentov magisterských odborov, doktorandov, a dokonca profesorov.

„Títo jednotlivci sú platení za to, aby vyvíjali rozšírené modely umelej inteligencie, ktoré dokážu obchádzať sofistikované bezpečnostné opatrenia. Odborné znalosti týchto inžinierov pre umelú inteligenciu zabezpečujú, že modely budú nielen efektívne, ale aj adaptabilné na vyvíjajúce sa bezpečnostné protokoly,“ povedal Shetty.

Kľúčom k zmysluplnému odstaveniu operácií kyberzločincov je vytrvalosť, ako aj neustále sledovanie toho, ako fungujú a využívajú nové technológie.

„Nesmieme poľaviť a neustále musíme prijímať opatrenia, ktorými zločincom sťažíme vytváranie finančného zisku,“ povedal Farrell. „Preto sme podali druhú žalobu na ovládnutie tejto novej domény. Musíme vyslať odkaz, že nebudeme tolerovať aktivitu, ktorej cieľom je poškodiť našich zákazníkov a jednotlivcov online.“

Získané skúsenosti a dôsledky pre budúcnosť

K výsledku vyšetrovania a odstavenia skupiny Storm-1152 Farrell poznamenáva, že tento prípad je dôležitý nielen pre svoj vplyv na nás a ďalšie zasiahnuté spoločnosti, ale aj pre úsilie spoločnosti Microsoft obmedziť vplyv takýchto operácií, ktoré sú súčasťou celkového ekosystému CaaS.

Silný odkaz verejnosti

„Ukázali sme, že dokážeme využiť právne páky proti škodlivým útokom a celoštátnym operáciám tak efektívne, že sa značne zmiernila alebo dokonca ukončila aktivita aktéra, ktorá je už celkom dlhý čas po podaní žaloby takmer na nule,“ hovorí Farrell. „Myslím, že týmto sme dokázali, že skutočné odradenie je možné, a že odkaz verejnosti, ktorý z toho vyplýva, je dôležitý, a to nielen pokiaľ ide o samotný jeho vplyv, ale aj väčšie dobro online komunity.“

Nové vektory prístupu v identite

Ďalším dôležitým zistením je všeobecný posun aktérov hrozieb od snahy napadnúť koncové body k snahe využiť identity.  Pri väčšine ransomwarových útokov pozorujeme, že aktéri hrozieb využívajú ukradnuté alebo napadnuté identity ako počiatočný vektor útoku.
„Týmto trendom sa ukazuje, že identita bude pri budúcich incidentoch čoraz častejšie počiatočným vektorom prístupu,“ hovorí Mason. „Manažéri informačnej bezpečnosti budú zrejme musieť zaujať zásadný postoj k identite už pri modelovaní pre svoje organizácie, čiže sa budú musieť viac zameriavať na identitu a až potom prejsť na koncové body.“

Základom sú neustále inovácie

Znovuobjavenie skupiny Storm-1152 a jej stratégie využívajúce umelú inteligenciu podčiarkujú vyvíjajúci sa charakter kybernetických hrozieb. Jej sofistikované využívanie umelej inteligencie na úniky aj riešenie výziev predstavuje pre tradičné bezpečnostné opatrenia veľký problém. Organizácie sa musia prispôsobiť tým, že začnú využívať pokročilé techniky odhaľovania a zmierňovania útokov pomocou umelej inteligencie, aby boli pred takýmito útokmi krok popredu.
„Prípad skupiny Storm-1152 poukazuje na kritickú potrebu neustálych inovácií v oblasti kybernetickej bezpečnosti, aby bolo možné bojovať proti sofistikovanej taktike útočníkov, ktorí sú zbehlí v umelej inteligencii,“ hovorí Shetty. „Keďže tieto skupiny sa stále vyvíjajú, musí sa vyvíjať aj obrana navrhnutá na ochranu pred ich útokmi.“

Vieme, že v budúcnosti budeme čeliť novým bezpečnostným problémom, ale poznatky získané z tejto skúsenosti nás napĺňajú optimizmom. Keďže sme členmi komunity obrancov, vieme, že pri službe spoločnému dobru je lepšie spojiť sily a že neustála spolupráca verejného a súkromného sektora je nevyhnutným predpokladom boja proti kybernetickému zločinu.

Ako hovorí Farrell, „spolupráca medzi tímami v tomto prípade, čiže spoločné úsilie v oblasti analýzy hrozieb, ochrany identity, vyšetrovania, atribúcie, právnych krokov a externých partnerstiev, predstavuje model, v akom by sme mali fungovať.“

Súvisiace články

Odstavenie služieb, ktoré sú bránou ku kybernetickým zločinom

Spoločnosť Microsoft s využitím podpory od spoločnosti Arkose Labs v oblasti analýzy hrozieb prijíma technické a právne kroky na odstavenie najväčšieho predajcu a tvorcu podvodných kont Microsoft – skupiny, ktorú sme označili ako Storm-1152. Pozeráme sa, všímame si hrozby a prijmeme kroky na ochranu našich zákazníkov.
Ďalšie informácie

Microsoft, Amazon a medzinárodné jednotky presadzovania práva spájajú sily v boji proti podvodom v oblasti technickej podpory

Zistite, ako spoločnosti Microsoft a Amazon prvý raz v histórii spojili sily a odstavili nelegálne kontaktné centrá technickej podpory v Indii.
Ďalšie informácie

Zo zákulisia boja proti hakerom, ktorí narušili činnosť nemocníc a ohrozili životy

Pozrite sa do zákulisia spoločnej operácie spoločnosti Microsoft, výrobcu softvéru Fortra a organizácie Health-ISAC, ktorá má za cieľ odstaviť cracknuté servery Cobalt Strike a sťažiť činnosť počítačovým zločincom.
Ďalšie informácie

Sledujte zabezpečenie od spoločnosti Microsoft