Trace Id is missing
Перейти до основного
Security Insider

Рішучі заходи проти шахрайства: зрив роботи Storm-1152

Поділитися
Набір кольорових кругів із різними піктограмами.

Огляд

У березні 2023 р. на одного з важливих клієнтів корпорації Майкрософт було здійснено низку кібератак, які спричинили збої в роботі системи.

Що ж сталося? Зловмисники створили величезну кількість підроблених облікових записів Microsoft Outlook і Hotmail і намагалися за їх допомогою отримати доступ до служб, які наш клієнт пропонує потенційним користувачам для безкоштовного ознайомлення перед придбанням. Однак сплачувати за ці служби зловмисники не планували. У результаті клієнт заблокував можливість реєстрації з усіх адрес Microsoft Outlook і Hotmail.

За цією атакою стояла велика шахрайська організація, розташована у В’єтнамі – група, яку корпорація Майкрософт назвала Storm-1152.

Вона керувала нелегальними веб-сайтами й сторінками в соцмережах і продавала підроблені облікові записи Microsoft та інструменти, які допомагали обійти програмне забезпечення для перевірки ідентичності на відомих технологічних платформах. Послуги Storm-1152 були початковою ланкою кіберзлочинів, оскільки заощаджували хакерам час і зусилля на здійснення незаконних дій в Інтернеті. Загалом група створила для продажу близько 750 мільйонів підроблених облікових записів Microsoft, які принесли їй мільйони доларів незаконного прибутку й ще більше витрат компаніям, що змушені боротися із цією злочинною діяльністю.

Виявляється, облікові записи від Storm-1152 використовували для атак зловмисними програмами з вимогою викупу, крадіжки даних і шантажу різні злочинні групи, наприклад​ Octo Tempest, Storm-0252, Storm-0455 та інші. Бізнес із продажу облікових записів зробив джерело загроз Storm-1152 одним із найбільших онлайнових постачальників кіберзлочинів як послуги.

Корпорація Майкрософт спостерігає за розвитком цієї зловмисної діяльності з 2022 року й застосовує дедалі більше алгоритмів машинного навчання, щоб заздалегідь виявляти відомі шаблони підробки облікових записів. Однак весну 2023 року можна вважати переломним моментом, оскільки тоді значно почастішали випадки зловживання платформами корпорації Майкрософт і її партнерів. Настав час для рішучих дій. Так з’явилася спеціальна команда, яка об’єднала фахівців у різних галузях із корпорації Майкрософт і партнерської компанії Arkose Labs.

Ми спостерігали, як одразу після вжитих заходів трафік для реєстрації впав приблизно на 60%. Ця цифра охоплює більше 60% спроб реєстрації, які наш алгоритм або наші партнери пізніше ідентифікували як зловмисні. Відповідні облікові записи були позбавлені доступу до служб Microsoft. 

Завдяки злагодженим діям різних спеціалістів підрозділ корпорації Майкрософт із боротьби з кіберзлочинністю подаву грудні 2023 р. перший судовий позов, щоб припинити роботу веб-сайтів групи Storm-1152, які використовувалися для продажу зловмисних послуг. Ми спостерігали, як одразу після вжитих заходів трафік для реєстрації впав приблизно на 60%. Ця цифра приблизно охоплює 60% спроб реєстрації, які наш алгоритм або наші партнери пізніше ідентифікували як зловмисні. Ці облікові записи були позбавлені доступу до служб Microsoft. У липні 2023 р. ми подали другий цивільний позов, щоб заблокувати нову інфраструктуру, яку група намагалася налагодити після грудневого судового процесу.

Цей звіт про нову загрозу проливає світло на те, яких заходів можна вжити, і підкреслює важливе значення співпраці між організаціями з різних галузей для подолання кіберзлочинності. Ця справа демонструє, як технічна компанія може використовувати юридичні важелі для стримування зловмисних груп і захисту своїх клієнтів в Інтернеті. Крім того, ми пересвідчилися, що потрібно невпинно боротися з кіберзлочинністю та можна ефективно використовувати для цього юридичні інструменти, навіть якщо зловмисники змінюють тактику. Адже такі правопорушення не поодинокі.

Виявлення та ідентифікація групи Storm-1152

У лютому 2023 р. Метью Меса, старший дослідник безпеки в Центрі Аналізу загроз Microsoft, виявив закономірність, що облікові записи Microsoft Outlook усе частіше використовують у масштабних фішингових кампаніях. Його робота полягає в аналізі кампаній електронною поштою та пошуку підозрілої активності. Метью помітив, що почастішали випадки використання фальшивих облікових записів і запитав себе, чи є між ними зв’язок?

Він негайно створив профіль нового джерела загрози, Storm-1152, і почав відстежувати його діяльність і ділитися своїми знахідками з командою корпорації Майкрософт з ідентифікації. Шинеза Камбрік, головна менеджерка з продуктів у команді корпорації Майкрософт із боротьби з шахрайством і зловживаннями, також відстежувала активність цих хакерів і помітила зростання кількості автоматичних облікових записів (ботів), що намагалися обійти тест CAPTCHA, яким захищено процес реєстрації в споживчих службах Microsoft.​

"Моя команда зосереджена на службах для окремих користувачів і корпоративних клієнтів. Це означає, що ми щодня захищаємо мільйони облікових записів від шахрайства та зловживань, – пояснює Камбрік. – Наше завдання – зрозуміти методи джерела загрози, щоб запобігти атакам і несанкціонованому доступу до наших систем. Ми завжди думаємо на випередження: як зупинити зловмисника ще до початку атаки".

Її увагу привернуло зростання випадків шахрайства з обліковими записами. Коли з різних джерел (від партнерів корпорації Майкрософт і компаній з нашого ланцюжка постачання) надійшли повідомлення про шкоду, заподіяну обліковими записами Microsoft, які створили боти, Камбрік почала діяти.

Спільно з Arkose Labs, постачальником рішень для кібербезпеки й керування ботами, команда Камбрік намагалася ідентифікувати й заблокувати підроблені облікові записи групи й надавала відомості про свою роботу колегам із Центру Аналізу кіберзагроз Microsoft і відділу Arkose Labs із вивчення кіберзагроз.

Наше завдання – зрозуміти методи джерела загрози, щоб запобігти атакам і несанкціонованому доступу до наших систем. Ми завжди думаємо на випередження: як зупинити зловмисника ще до початку атаки". 
Шинеза Камбрік 
Головна менеджерка з продуктів у команді корпорації Майкрософт із боротьби з шахрайством і зловживаннями 

"Спочатку ми мали тільки запобігати створенню фальшивих облікових записів Microsoft, – пояснює Патріс Боффа, головна спеціалістка з роботи з клієнтами компанії Arkose Labs, – але після того, як було ідентифіковано групу Storm-1152, ми почали збирати багато даних для аналізу кіберзагроз".

Загальні відомості про Storm-1152

Як на відносно нову групу, що діє з фінансових мотивів, Storm-1152 вирізнялася своєї чіткою організацією та професіоналізмом, працюючи за моделлю "кіберзлочин як послуга". Функціонуючи як законна компанія, група Storm-1152 в усіх під носом надавала злочинні послуги з обходу тестів CAPTCHA.

"Якщо ви не знали, що це незаконна організація, потрібно було просто порівняти її з будь якою іншою компанією, що пропонує кіберзлочини як послугу, 
Патріс Боффа
Головна спеціалістка з роботи з клієнтами компанії Arkose Labs

"Якщо ви не знали, що це незаконна організація, потрібно було просто порівняти її з будь якою іншою компанією, що пропонує кіберзлочини як послугу", – каже Боффа й додає, що веб-сайт групи AnyCAPTCHA.com був загальнодоступним, на ньому приймалися платежі в криптовалюті через PayPal і навіть була служба підтримки.

За допомогою ботів група збирала маркери тестів CAPTCHA й продавала їх клієнтам, які використовували ці маркери для своєї злочинної діяльності до завершення їх терміну дії, наприклад масово створювали підроблені облікові записи Microsoft для кібератак. Оскільки спроби налаштувати підроблені облікові записи були швидкими й ефективними, команда компанії Arkose Labs дійшла висновку, що хакери використовували технології машинного навчання. 

"Коли злочинці почали пристосовуватися так само швидко, як ми їх блокувати, стало зрозуміло, що для багатьох атак вони застосовують ШІ, – розповідає Боффа. – Порівняно з іншими відомими нам супротивниками група Storm-1152 використовує штучний інтелект в інноваційний спосіб". Команди Arkose Labs і корпорації Майкрософт спостерігали, як зловмисники змінювали бізнес-методи, коли стикалися з посиленою протидією.

Спочатку група Storm-1152 надавала послуги злочинцям для обходу механізмів безпеки інших технологічних компаній.І корпорація Майкрософт стала найбільшою жертвою. Група Storm-1152 пропонувала допомогу зобходом​​ механізмів безпеки під час створення фальшивих облікових записів. Але відчувши, що її викрили, група запропонувала нову послугу. Замість вищезгаданої допомоги група почала сама створювати й перепродавати фальшиві облікові записи Microsoft із використанням зібраних своїми ботами маркерів для проходження тестів CAPTCHA.

"Випадок Storm-1152 досить типовий, – запевняє Боффа. – Щоразу, як зловмисників викривають, вони випробовують інші методи. Нам потрібно добре опанувати гру в "кішки-мишки", щоб залишатися на крок попереду".

Підготовка цивільного позову проти групи Storm-1152

Коли діяльність шахраїв набула неймовірного розмаху в березні 2023 року, Камбрік і Меса почали шукати нові шляхи їх зупинити та звернулися до підрозділу корпорації Майкрософт із боротьби з кіберзлочинністю.

Цей підрозділ, який слідкує за дотриманням юридичних прав корпорації Майкрософт за її межами, зазвичай має справу із серйозними джерелами загроз. Він перешкоджає роботі зловмисників, підвищуючи їхні витрати на ведення незаконного бізнесу. І головними інструментами для цього є кримінальні провадження та цивільні судові позови.

Шон Фаррелл (головний спеціаліст юридичної команди в підрозділі корпорації Майкрософт із боротьби з кіберзлочинністю), Джейсон Лайонс (керівник розслідувань юридичної команди в підрозділі корпорації Майкрософт із боротьби з кіберзлочинністю) і Моріс Мейсон (старший слідчий у сфері кіберзлочинності) об’єднали зусилля для подальшої роботи над цією справою. Вони координували зусилля із зовнішніми юридичними радниками корпорації Майкрософт, щоб розробити стратегію, і зібрали всі необхідні докази для подання цивільного позову, зокрема аналітичні висновки різних команд корпорації Майкрософт і відділу аналізу кіберзагроз компанії Arkose Labs.

"На момент, коли в гру вступив підрозділ корпорації Майкрософт із боротьби з кіберзлочинністю, було зроблено вже чимало", – пригадує Лайонс. – Команда корпорації Майкрософт з ідентифікації й компанія Arkose Labs уже добре попрацювали над ідентифікацією та блокуванням облікових записів. Оскільки спеціалісти Центру Аналізу загроз Microsoft змогли пов’язати підроблені облікові записи з певними рівнями інфраструктури, ми були впевнені, що це стане міцною основою для судового позову".

Серед факторів, які сприяють формуванню юридичної справи можна виділити такі: наявність законів, на які посилається цивільний позов, наявність юрисдикції та готовність компанії публічно називати зловмисників.

Лайонс порівняв це з процесом медичного сортування, коли спеціалісти підрозділу боротьби з кіберзлочинністю вивчили факти й відомості, щоб переконатися, чи вони є достатнім підґрунтям для юридичного переслідування. "Зі специфікою нашої роботи ми маємо визначити, чи варто витрачати час і ресурси на певну справу, – каже він. – Чи виправдає результат наші зусилля?" У цьому випадку відповідь – так.

Завданням Мейсона було пов’язати діяльність Storm-1152 з наданням кіберзлочину як послуги. "Я мав відстежувати, як Storm-1152 продає підроблені облікові записи іншим джерелам загроз, та ідентифікувати осіб, які стоять за цією групою", – пояснює Мейсон.

За час розслідування, яке передбачало перевірку сторінок у соцмережах і платіжних ідентифікаторів, корпорація Майкрософт і Arkose Labs змогли встановити, хто стоїть за групою Storm-1152. Це Дуонг Дінь Ту, Лін Ван Нгуєн (також відомий як Нгуєн Ван Лін) і Тай Ван Нгуєн.

Знахідки вказують на те, що ці особи писали код для нелегальних вебсайтів, публікували детальні покрокові відеоінструкції з використання їхніх незаконних послуг і консультували своїх замовників у чаті. Крім того, ми також установили зв’язки з технічною інфраструктурою зловмисників, простеживши її до хостів у США.

"Однією з причин, чому підрозділ корпорації Майкрософт із боротьби з кіберзлочинністю відстежує цю діяльність, є необхідність знижувати вплив таких кіберзлочинців. Тому ми подаємо судові позови та ініціюємо кримінальні провадження, які закінчуються арештами й справедливими вироками".
Шон Фаррелл 
Головний спеціаліст юридичної команди; корпорація Майкрософт

Фаррелл так пояснює рішення займатися справою: "У цьому випадку нам пощастило, тому що команди виконали велику роботу, ідентифікувавши осіб, які налагодили інфраструктуру й надавали незаконні послуги.

Однією з причин, чому підрозділ корпорації Майкрософт із боротьби з кіберзлочинністю відстежує цю діяльність, є необхідність знижувати вплив таких кіберзлочинців. Тому ми подаємо судові позови та ініціюємо кримінальні провадження, які закінчуються арештами й справедливими вироками. Думаю – це потужне послання, коли вдається ідентифікувати виконавців злочину й публічно притягнути їх до відповідальності в суді США".​​

Повторна поява Storm-1152 і другий судовий позов​

Хоча команда відзначила миттєве згортання інфраструктури після підриву діяльності групи в грудні 2023 року, Storm-1152 знову з’явилася на арені, запустивши новий веб-сайт під назвою RockCAPTCHA з новими відеоінструкціями для своїх клієнтів. Сайт RockCAPTCHA був націлений на корпорацію Майкрософт і пропонував послуги для обходу механізмів захисту CAPTCHA від компанії Arkose Labs. Заходи, проведені в липні, дали змогу корпорації Майкрософт перейняти контроль над цим веб-сайтом і завдати чергового удару по джерелах загроз.

Відділ Arkose Labs із вивчення кіберзагроз також ретельно дослідив, як хакери Storm-1152 намагалися відновити свої послуги. Виявилося, що група використовує досконаліші методи, зокрема нарощує використання штучного інтелекту (ШІ), щоб заплутати сліди й уникнути викриття. Відновлення діяльності групи свідчить про те, що світ кіберзагроз мінливий, а зловмисники розширюють свої можливості, опановуючи технології на основі штучного інтелекту. 

Група Storm-1152 насамперед застосовувала їх, щоб уникнути виявлення. За даними Arkose Labs зловмисники використовували ШІ для створення підписів, які схожі на справжні.

Вікас Шетті є керівником відділу продуктів в Arkose Labs і очолює відділ із вивчення кіберзагроз. "За допомогою моделей ШІ зловмисники навчають системи, які створюють підписи, схожі на людські. Потім їх використовують у різноманітних атаках, – розповідає Шетті. – Через складність і різноманітність цих підписів, їх складно виявляти за допомогою традиційних методів".

Більше того, компанія Arkose Labs дізналася, що група Storm-1152 намагалася взяти на роботу інженерів із розробки інструментів ШІ, зокрема випускників університетів, кандидатів технічних наук і навіть професорів у таких країнах, як В’єтнам і Китай.

"Цим людям платять за розробку розширених моделей ШІ, які можуть обійти складні захисні системи. Завдяки досвіду й умінням інженерів ці моделі не просто ефективні, вони легко адаптуються до протоколів безпеки, які постійно вдосконалюються", – розповідає Шетті.

Щоб зривати операції кіберзлочинців, потрібно постійно вживати нових заходів і відстежувати, як хакери працюють і використовують сучасні технології.

"Ми повинні діяти безперервно, щоб зловмисникам було важче заробляти гроші, – стверджує Фаррелл. – Саме тому ми подали другий позов, щоб узяти під контроль новий домен. Ми маємо надіслати чіткий сигнал, що не дозволимо шкодити нашим клієнтам і користувачам в Інтернеті".

Висновки й майбутнє застосування

Розмірковуючи про результат розслідування та припинення роботи Storm-1152, Фаррелл наголошує, що ця справа дуже важлива не лише з огляду на її вплив на різні компанії, але й через те, що корпорація Майкрософт доклала чималих зусиль для визначення наслідків цих злочинних операцій, які є частиною екосистеми "кіберзлочин як послуга".

Чітке послання громадськості

"Показавши, що юридичні інструменти ефективні в боротьбі з атаками зловмисними програмами й операціями джерел загроз національного рівня, ми суттєво знизили активність хакерів, яка майже зійшла нанівець на певний час після судового процесу, – розповідає Фаррелл. – Думаю, стало зрозуміло, що в нас є реальні важелі стримування злочинців. Громадськість теж отримала важливе повідомлення, яке не тільки вплине на спільноту в Інтернеті, а й матиме позитивні наслідки".

Нові напрямки отримання доступу до ідентичностей

Ми також спостерігаємо ще одну зміну: джерела загроз переходять від спроб уразити кінцеві точки до полювання на ідентичності.  У більшості атаках зловмисними програмами з вимогою викупу ми бачимо, що джерела загроз використовують крадені або зламані ідентичності як початковий напрям атаки.
"Ця тенденція свідчить про те, що в майбутньому ідентичність стане визначальною під час отримання первинного доступу, – переконаний Мейсон. – Під час формування системи безпеки в організації, керівникам відділів ІТ варто звертати увагу передусім на захист ідентичностей, а не кінцевих точок".

Життєва необхідність інновацій

Повторна поява групи Storm-1152 та її стратегії використання ШІ зайвий раз підкреслюють, що кіберзагрози постійно розвиваються. Зловмисники майстерно використовують інструменти на основі ШІ, щоб уникнути викриття й вирішити складні завдання, а це випробовує на міцність традиційні заходи безпеки. Щоб не відставати від правопорушників, організаціям доводиться адаптуватися, запроваджуючи розширені засоби на основі ШІ для виявлення загроз і зведення їх до мінімуму.
"Справа Storm-1152 підкреслює важливість безперервних інновацій у галузі кібербезпеки, щоб протидіяти майстерним методам хакерів, які чудово знаються на технологіях ШІ, – говорить Шетті. – Оскільки ці групи весь час розвиваються, ми повинні вдосконалювати механізми захисту від них".

Ми знаємо, що на нас чекають нові випробування, але налаштовані оптимістично, адже дізналися чимало нового з описаного випадку. Ми входимо в спільноту фахівців із кібербезпеки й розуміємо, що краще об’єднувати зусилля для спільного блага. Подальша співпраця між державними організаціями й приватними компаніями вкрай важлива перед лицем кіберзагроз.

Фаррелл запевняє: "Взаємодія команд під час цієї справи, а саме поєднання зусиль спеціалістів з аналізу кіберзагроз, захисту ідентичностей, розслідувань, виявлення зв’язків, юридичних питань, а також зовнішніх партнерів, – чудовий зразок продуктивної співпраці".

Пов’язані статті

Припинення роботи служб, які є шлюзом для кіберзлочинів

Корпорація Майкрософт за підтримки відділу Arkose Labs із вивчення кіберзагроз уживає технічних і юридичних заходів, щоб протидіяти найбільшому продавцю та розробнику підроблених облікових записів Microsoft – групі, яку ми ідентифікували як Storm-1152. Ми спостерігаємо, ми знаємо про загрозу та вживатимемо заходів, щоб захистити наших клієнтів.
Дізнайтеся більше

Корпорація Майкрософт, Amazon і міжнародні правоохоронні органи об’єднали зусилля для боротьби із шахрайством у сфері технічної підтримки

Дізнайтеся, як корпорація Майкрософт і компанія Amazon уперше об’єднали зусилля, щоб припинити роботу незаконних інформаційно-довідкових служб в Індії.
Дізнайтеся більше

Боротьба зі зловмисниками, які зривають роботу лікарень і ставлять під загрозу життя людей: погляд ізсередини

Дізнайтеся про спільну операцію корпорації Майкрософт, розробника програмного забезпечення Forta та організації Health-ISAC, спрямовану на відключення зламаних серверів Cobalt Strike і протидію кіберзлочинцям.
Дізнайтеся більше

Підпишіться на новини про Захисний комплекс Microsoft