Прекъсване на порталните услуги за киберпрестъпления

Storm-1152 играе значителна роля във високоспециализираната екосистема „киберпрестъпления като услуга“. Киберпрестъпниците се нуждаят от измамни акаунти, за да поддържат своите до голяма степен автоматизирани престъпни дейности. Тъй като компаниите са в състояние бързо да идентифицират и закриват измамнически акаунти, престъпниците се нуждаят от по-голямо количество акаунти, за да заобиколят усилията за смекчаване на последиците. Вместо да прекарват време в опити да създадат хиляди измамнически акаунти, киберпрестъпниците могат просто да ги закупят от Storm-1152 и други групи. Това позволява на престъпниците да съсредоточат усилията си върху крайните си цели - фишинг, спам, рансъмуер и други видове измами и злоупотреби. Storm-1152 и подобни на тях групи дават възможност на десетки киберпрестъпници да извършват своите злонамерени дейности по-ефективно и ефикасно.

Набор от ресурси на Microsoft срещу заплахи е идентифицирала множество групи, занимаващи се с изнудване, кражба на данни и изнудване, които са използвали акаунти на Storm-1152. Например Octo Tempest, известна също като Scattered Spider, е получила измамни акаунти на Microsoft от Storm-1152. Octo Tempest е финансово мотивирана киберпрестъпна група, която използва широки кампании за социално инженерство, за да компрометира организации в цял свят с цел финансово изнудване. Microsoft продължава да проследява множество други заплахи, свързани с рансъмуер или изнудване, които са закупили фалшиви акаунти от Storm-1152, за да подсилят атаките си, включително Storm-0252 и Storm-0455.

В четвъртък, 7 декември, Майкрософт получи съдебна заповед от Южния окръг на Ню Йорк за изземване на базираната в САЩ инфраструктура и извеждане от мрежата на уебсайтове, използвани от Storm-1152 за нанасяне на вреди на клиентите на Майкрософт. Макар че нашето дело се фокусира върху измамни акаунти в Microsoft, засегнатите уебсайтове продават услуги за заобикаляне на мерките за сигурност и на други добре познати технологични платформи. Следователно днешното действие има по-широко въздействие и е от полза за потребителите извън Microsoft. По-конкретно, звеното за цифрови престъпления на Microsoft наруши:

Майкрософт се ангажира да осигури безопасно цифрово изживяване за всеки човек и организация на планетата. Работим в тясно сътрудничество с Arkose Labs, за да внедрим решение за защита на CAPTCHA от следващо поколение. Решението изисква от всеки бъдещ потребител, който иска да открие акаунт в Microsoft, да представи, че е човек (а не бот), и да провери точността на това представяне чрез решаване на различни видове предизвикателства.

Както казва Кевин Гошалк, основател и главен изпълнителен директор на Arkose Labs: „Storm-1152 е страховит враг, създаден с единствената цел да печели пари, като дава възможност на противниците да извършват сложни атаки. Групата се отличава с това, че е изградила своя CaaS бизнес на светло, а не в тъмната мрежа. Storm-1152 работи като типичен интернет концерн, като осигурява обучение за своите инструменти и дори предлага пълна поддръжка на клиентите. В действителност Storm-1152 беше отключен портал за сериозни измами.“

Дейността на Storm-1152 не само нарушава условията за ползване на услугите на Microsoft, като продава измамни акаунти, но и целенасочено се стреми да навреди на клиентите на Arkose Labs и да измами жертвите, представяйки се за легитимни потребители, в опит да заобиколи мерките за сигурност.

Нашият анализ на дейността на Storm-1152 включваше откриване, анализ, телеметрия, тестови покупки под прикритие и обратен инженеринг, за да определим злонамерената инфраструктура, хоствана в Съединените щати. Набор от ресурси на Microsoft срещу заплахи и Изследователско звено за разузнаване на киберзаплахите Arkose   (ACTIR) предоставиха допълнителни данни и прозрения, за да подсилят нашата правна аргументация.

В рамките на нашето разследване успяхме да потвърдим самоличността на участниците, ръководещи операциите на Storm-1152 - Duong Dinh Tu, Linh Van Nguyễn (известен също като Nguyễn Van Linh) и Tai Van Nguyen - базирани във Виетнам. Нашите констатации показват, че тези лица са управлявали и писали кода на незаконните уебсайтове, публикували са подробни инструкции стъпка по стъпка за това как да се използват техните продукти чрез видеоуроци и са предоставяли чат услуги, за да помагат на тези, които използват техните измамнически услуги.

Оттогава Microsoft е подала сигнал за престъпление до американските правоприлагащи органи. Благодарни сме за партньорството си с правоприлагащите органи, които могат да изправят пред правосъдието тези, които искат да навредят на нашите клиенти.
 

Днешното действие е продължение на стратегията на Microsoft да се прицели в по-широката екосистема на киберпрестъпността и да се насочи към инструментите, които киберпрестъпниците използват, за да извършват своите атаки. То се основава на нашето разширяване на правен метод, използван успешно за прекъсване на зловреден софтуер и операции на национални държави. Също така си партнираме с други организации в бранша, за да увеличим обмена на разузнавателна информация за измамите и да подобрим допълнително нашите алгоритми за изкуствен интелект и машинно обучение, които бързо откриват и маркират измамни сметки.

Както сме казвали и преди, нито едно прекъсване не е завършено за един ден. Преследването на киберпрестъпленията изисква постоянство и непрекъсната бдителност, за да се прекъсне работата на новата злонамерена инфраструктура. Въпреки че днешните правни действия ще повлияят на операциите на Storm-1152, очакваме, че в резултат на това други участници в заплахи ще адаптират своите техники. Продължаващото сътрудничество между публичния и частния сектор, като това с Arkose Labs и американските правоприлагащи органи, остава от съществено значение, ако искаме да намалим значително въздействието на киберпрестъпността.