U korporaciji Microsoft nastavljamo da tražimo kreativne načine za zaštitu ljudi na mreži, a to podrazumeva i netoleranciju prema osobama koje kreiraju lažne kopije naših proizvoda kako bi naudili drugima. Lažni nalozi na mreži imaju ulogu mrežnog prolaza za mnoštvo radnji koje spadaju u kibernetički kriminal, uključujući masovni phishing, krađu identiteta i prevaru, kao i distribuirane napade radi onemogućavanja usluga (DDoS). Zato danas, sa dragocenim uvidima u vezi sa informacijama o pretnjama koje dobijamo od preduzeća Arkose Labs, vodećeg pružaoca usluga odbrane u oblasti kibernetičke bezbednosti i upravljanja robotima, uspevamo da pratimo u stopu vodećeg prodavca i autora lažnih Microsoft naloga, grupu koju nazivamo Storm-1152. Šaljemo glasnu poruku svima koji žele da kreiraju, prodaju ili distribuiraju lažne Microsoft proizvode radi kibernetičkog kriminala: nadgledamo, držimo vas na oku i delovaćemo radi zaštite klijenata. Storm-1152 pokreće protivzakonite veb sajtove i stranice na društvenim mrežama, prodajući lažne Microsoft naloge i alatke za zaobilaženje softvera za potvrdu identiteta na poznatim tehnološkim platformama. Ove usluge skraćuju vreme i smanjuju trud potreban za obavljanje mnoštva kriminalnih i nezakonitih ponašanja na mreži. Do današnjeg dana, grupa Storm-1152 napravila je oko 750 miliona lažnih Microsoft naloga, ostvarivši na taj način nezakonit prihod od više miliona dolara, što je korporaciji Microsoft i drugim preduzećima nanelo štetu u još većem iznosu usled borbe protiv njihovih kriminalnih aktivnosti. Naša sadašnja aktivnost ima za cilj sprečavanje kriminalnog ponašanja. U nastojanju da usporimo kibernetičke kriminalce u brzini kojom napadaju, cilj nam je da povećamo njihove troškove poslovanja dok istovremeno nastavljamo sa istragom, kao i sa zaštitom klijenata i ostalih korisnika na mreži.
Registrujte se odmah da na zahtev gledate veb seminar koji sadrži uvide u Microsoft izveštaj o digitalnoj bezbednosti za 2024 godinu.
Ometanje kibernetičkog kriminala u pružanju usluga
Storm-1152 ima značajnu ulogu u visoko specijalizovanom ekosistemu kibernetičkog kriminala kao usluge. Kibernetičkim kriminalcima su potrebni lažni nalozi kao podrška kriminalnim aktivnostima koje su u velikoj meri automatizovane. Kod preduzeća koja mogu brzo da identifikuju i ugase lažne naloge, kriminalcima je potrebna veća količina naloga kako bi zaobišli mere za smanjenje rizika. Umesto da ulažu vreme u pravljenje hiljada lažnih naloga, kibernetički kriminalci mogu jednostavno da ih kupe od grupa kao što je Storm-1152. To kriminalcima omogućava da se usredsrede na svoje krajnje ciljeve u sprovođenju prevara kao što su phishing, slanje nepoželjnih e-poruka, ransomver i ostale vrste prevara i zloupotrebe. Storm-1152 i grupe poput nje omogućavaju brojnim kibernetičkim kriminalcima da svoje zlonamerne aktivnosti sprovode efikasnije i delotvornije.
Služba za Microsoft informacije o pretnjama identifikovala je više grupa koje su koristile Storm-1152 naloge a bave se ransomverom, krađom podataka i iznudom. Na primer, grupa Octo Tempest, poznata i kao Scattered Spider, nabavila je lažne Microsoft naloge od grupe Storm-1152. Octo Tempest je grupa za kibernetički kriminal koja je finansijski motivisana i koristi širok spektar kampanja društvenog inženjeringa sa ciljem ugrožavanja organizacija širom sveta, a sve radi finansijske iznude. Microsoft nastavlja da prati aktivnosti više drugih aktera u vezi sa ransomverom ili pretnjama iznudom, poput grupa Storm-0252 i Storm-0455, koje su od grupe Storm-1152 kupile lažne naloge kako bi unapredile napade.
U četvrtak, 7. decembra, korporacija Microsoft je nabavila sudski nalog od Južnog okruga Njujorka da zapleni infrastrukturu sa sedištem u SAD i stavi van mreže veb sajtove koje Storm-1152 koristi za nanošenje štete Microsoft klijentima. Dok smo se mi fokusirali na lažne Microsoft naloge, ti veb sajtovi su ugrozili i već prodate usluge sa ciljem zaobilaženja bezbednosnih mera na drugim poznatim tehnološkim platformama. Sadašnja akcija stoga ima širi uticaj i od nje imaju korist i oni korisnici koji nisu klijenti korporacije Microsoft. Konkretno, jedinica za digitalne zločine u korporaciji Microsoft, sprečila je:
- Hotmailbox.me, veb sajt koji prodaje lažne Microsoft Outlook naloge.
- 1stCAPTCHA, AnyCAPTCHA i NoneCAPTCHA, veb sajtovi koji olakšavaju korišćenje alatki, infrastrukturu i prodaju usluge za CAPTCHA rešavanje radi zaobilaženja potvrde korišćenje i podešavanja naloga od strane stvarne osobe. Ovi veb sajtovi su prodavali alatke za zaobilaženje potvrde identiteta za druge tehnološke platforme.
- Sajtovi društvenih mreža aktivno su se koristili za oglašavanje ovih usluga.
Slike nezakonitih veb sajtova grupe Storm-1152.
Korporacija Microsoft posvećena je pružanju bezbedne digitalne funkcije svakoj osobi i organizaciji na planeti. Imamo blisku saradnju sa preduzećem Arkose Labs na primeni rešenja sledeće generacije za CAPTCHA odbranu. Rešenje zahteva da svaki potencijalni korisnik koji želi da otvori Microsoft nalog dokaže da je ljudsko biće (a ne robot) i da dokaže tačnost svog predstavljanja tako što će rešiti različite vrste izazova.
Kao osnivač i izvršni direktor preduzeća Arkose Labs, Kevin Gosschalk je izjavio: „Storm-1152 je zastrašujuć neprijatelj osnovan sa jedinom svrhom da zarađuje novac tako što osposobljava suparnike da sprovode složene napade. Tu grupu odlikuje činjenica da je svoje CaaS poslovanje izgradila na svetlu dana, a ne na tamnom vebu. Grupa Storm-1152 funkcioniše kao tipično finansijski stabilno preduzeće koje obezbeđuje obuku za svoje alatke i nudi čak i kompletnu korisničku podršku. U stvari, grupa Storm-1152 je predstavljala otključanu kapiju za ozbiljne prevare.“
Aktivnost grupe Storm-1152 ne samo da krši uslove korišćenja usluge korporacije Microsoft prodajom lažnih naloga, već i namerno nastoji da nanese štetu klijentima preduzeća Arkose Labs i obmanjuje žrtve lažnim predstavljanjem kao legitimnih korisnika u pokušaju da zaobiđu bezbednosne mere.
Snimak ekrana zaplene domena koju je pokrenula korporacija Microsoft zbog činjenice da ovaj veb sajt pokušava da proda lažno nabavljene Microsoft naloge
Naša analiza aktivnosti grupe Storm-1152 obuhvatala je otkrivanje, analizu, telemetriju, tajne kupovine testova i obrnuti inženjering kako bi se utvrdila zlonamerna infrastruktura sa sedištem u Sjedinjenim Državama. Služba za Microsoft informacije o pretnjama i jedinica Arkose Cyber Threat Intelligence Research (ACTIR) pružili su dodatne podatke radi učvršćivanja našeg zakonskog predmeta.
U sklopu istrage, uspeli smo da potvrdimo identitet aktera koji su vodili operacije grupe Storm-1152 – Duong Dinh Tu, Linh Van Nguyễn (poznat i kao Nguyễn Van Linh) i Tai Van Nguyen – sa sedištem u Vijetnamu. Naši nalazi pokazuju da su ove osobe sprovodile akcije i napisale kôd za nezakonite veb sajtove, objavljivale detaljna i postupna uputstva o korišćenju njihovih proizvoda putem video uputstava i pružale usluge ćaskanja kao pomoć svima onima koji koriste njihove lažne usluge.
Korporacija Microsoft je podnela krivičnu prijavu organima za sprovođenje zakona u SAD. Zahvalni samo na partnerstvu sa organima za sprovođenje zakona koji su u stanju da privedu pravdi sve one koji žele da nanesu štetu našim klijentima.
YouTube kanal pod imenom Duong Dinh Tu sa video snimcima „kako da“ za zaobilaženje mera bezbednosti.
Sadašnja akcija predstavlja nastavak strategije korporacije Microsoft u pronalaženju šireg ekosistema kibernetičkih kriminalaca, kao i pronalaženja alatki koje kibernetički kriminalci koriste za pokretanje napada. Nadovezuje se na proširenje našeg zakonskog metoda koji se uspešno koristi za ometanje malvera i za operacije na teritoriji suverene države. Udružili smo se i sa drugim organizacijama u okviru delatnosti kako bismo povećali deljenje obaveštajnih podataka o prevarama i dodatno unapredili algoritme za veštačku inteligenciju i mašinsko učenje koji brzo otkrivaju i označavaju lažne naloge.
Kao što smo već izjavili, nijedno ometanje nije moguće obaviti za jedan dan. Za borbu protiv kibernetičkog kriminala potrebna je upornost i neprekidna opreznost kako bi se sprečila nova zlonamerna infrastruktura. Iako će sadašnji pravni postupak uticati na operacije grupe Storm-1152, očekujemo da će to dovesti do prilagođavanja kod drugih aktera koji se bave pretnjama. Neprekidna saradnja javnog i privatnog sektora, kao što je sadašnja saradnja preduzeća Arkose Labs i organima za sprovođenje zakona u SAD, od suštinskog je značaja ukoliko želimo da smanjimo negativan uticaj kibernetičkog kriminala.
Pratite Microsoft bezbednost