Ve společnosti Microsoft stále hledáme kreativní způsoby, jak chránit lidi v online prostředí, a do toho spadá i zásada nulové tolerance vůči těm, kteří vytvářejí podvodné kopie našich produktů s cílem poškodit ostatní. Podvodné online účty slouží jako vstupní brána pro celou řadu kybernetických trestných činů, včetně hromadného phishingu, krádeží a podvodů s identitou a útoků typu DDoS (distributed denial of service). Proto dnes díky cenným informacím získaným službou analýzy hrozeb od společnosti Arkose Labs, předního dodavatele v oblasti kybernetické bezpečnosti a správy botů, podnikáme přímé kroky proti prodejci a tvůrci podvodných účtů Microsoftu číslo jedna, skupině, kterou nazýváme Storm-1152. Vysíláme jasný signál těm, kteří se snaží vytvářet, prodávat nebo distribuovat podvodné produkty společnosti Microsoft pro účely počítačové kriminality: sledujeme je, zaznamenáváme jejich činnost a budeme jednat, abychom ochránili naše zákazníky. Storm-1152 provozuje nelegální webové stránky a stránky na sociálních sítích a prodává podvodné účty Microsoft a nástroje pro obcházení softwaru pro ověřování totožnosti na známých technologických platformách. Tyto služby šetřením času a úsilí potřebného pro páchání řady trestných činů a zneužívání na internetu usnadňují práci pachatelům trestné činnosti. K dnešnímu dni vytvořila skupina Storm-1152 přibližně 750 milionů podvodných účtů Microsoftu určených k prodeji, což jí vyneslo miliony dolarů na nelegálních příjmech a společnosti Microsoft a dalším společnostem způsobilo další ztráty v souvislosti s nutností vynakládat prostředky na boj proti jejich trestné činnosti. Dnešní opatření má za cíl odradit pachatele od kriminálního chování. Snahou zpomalit rychlost, s jakou kyberzločinci provádějí své útoky, se jim snažíme zvýšit náklady na podnikání a zároveň pokračujeme ve vyšetřování a v opatřeních na ochranu našich zákazníků a ostatních uživatelů internetu.
V podcastu Analýzy hrozeb Microsoft se přímo od expertů dozvíte o tom, jaké jsou jejich poznatky. Poslechněte si ho.
Úspěchy v boji se službami usnadňujícími kyberkriminalitu
Storm-1152 hraje významnou roli ve vysoce specializovaném ekosystému kybernetické kriminality jako služby. Kyberzločinci potřebují podvodné účty k podpoře svých převážně automatizovaných trestných činností. Vzhledem k tomu, že společnosti jsou schopny podvodné účty rychle identifikovat a rušit, potřebují zločinci větší množství účtů, aby se těmto snahám o zmírnění škod vyhnuli. Kyberzločinci nemusí trávit čas vytvářením tisíců podvodných účtů, ale můžou si je jednoduše koupit od Storm-1152 a dalších skupin. Mohou tak svoji činnost soustředit na svoje hlavní cíle – phishing, rozesílání spamu, ransomware a další typy podvodů a zneužívání. Storm-1152 a podobné skupiny umožňují desítkám kyberzločinců provádět jejich škodlivé aktivity efektivněji a účinněji.
Služba analýzy hrozeb Microsoft identifikovala několik skupin zabývajících se ransomwarem, krádežemi dat a vydíráním, které používaly účty Storm-1152. Například Octo Tempest, známá taky pod názvem Scattered Spider, operuje s podvodnými účty Microsoftu právě od skupiny Storm-1152. Octo Tempest je finančně motivovaná kyberzločinecká skupina, která využívá rozsáhlých kampaní sociálního inženýrství ke kompromitaci organizací po celém světě s cílem finančního vydírání. Společnost Microsoft pokračuje ve sledování několika dalších aktérů v oblasti ransomwaru nebo vyděračských hrozeb, kteří zakoupili podvodné účty od Storm-1152, aby posílili své útoky, včetně Storm-0252 a Storm-0455.
Ve čtvrtek 7. prosince obdržela společnost Microsoft soudní příkaz od soudu pro Jižní okrsek New Yorku umožňující zabavení infrastruktury umístěné v USA a vyřazení z provozu webových stránek, které Storm-1152 používal k poškozování zákazníků společnosti Microsoft. Ačkoli se náš případ zaměřuje na podvodné účty Microsoftu, příslušné webové stránky, kterých se příkaz týká, prodávaly taky služby umožňující obejít bezpečnostní opatření na jiných známých technologických platformách. Dnešní opatření má proto širší dopad a přináší prospěch i uživatelům mimo společnost Microsoft. Oddělení Microsoftu pro boj s digitální kriminalitou konkrétně vyřadilo z provozu tyto služby:
- Hotmailbox.me – stránka prodávající podvodné účty Microsoft Outlooku
- 1stCAPTCHA, AnyCAPTCHA a NoneCAPTCHA – webové stránky, které usnadňují tvorbu nástrojů a infrastruktury a prodej služby pro řešení CAPTCHA, která umožňuje obejít potvrzení o tom, že účet používá a nastavuje skutečná osoba. Tyto stránky prodávaly nástroje pro obcházení ověřování totožnosti pro jiné technologické platformy.
- Stránky na sociálních sítích aktivně využívané k propagaci těchto služeb.
Obrázek nelegálních webů skupiny Storm-1152
Společnost Microsoft se zavázala poskytovat bezpečné digitální prostředí pro všechny lidi a organizace na světě. Se společností Arkose Labs úzce spolupracujeme na nasazení zabezpečovacího řešení CAPTCHA nové generace. Tento nástroj spočívá v tom, že každý budoucí uživatel, který si chce otevřít účet Microsoft, musí prohlásit, že je člověk (nikoliv bot), a správnost tohoto prohlášení ověřit řešením různých typů úkolů.
Zakladatel a výkonný ředitel společnosti Arkose Labs Kevin Gosschalk k tomu řekl: „Storm-1152 je silný nepřítel založený s jediným cílem – vydělávat peníze tím, že umožní protivníkům páchat komplexní útoky. Skupina se vyznačuje tím, že své podnikání v oblasti CaaS vybudovala všem na očích a nikoli na dark webu. Storm-1152 fungovala jako typický internetový podnik, který poskytuje školení pro své nástroje a nabízí dokonce plnou zákaznickou podporu. Ve skutečnosti Storm-1152 otevírala dveře závažným podvodům.“
Storm-1152 svou činností nejen porušuje podmínky služeb společnosti Microsoft prodejem podvodných účtů, ale taky se záměrně snaží poškodit zákazníky společnosti Arkose Labs a oklamat oběti a vydává se za legitimní uživatele ve snaze obejít bezpečnostní opatření.
Snímek obrazovky zobrazující zabavení domény iniciované společností Microsoft z důvodu toho, že se tato webová stránka pokouší prodávat podvodně získané účty Microsoft
Naše analýza aktivity Storm-1152 zahrnovala detekci, analýzu, telemetrii, tajné testovací nákupy a reverzní inženýrství s cílem určit škodlivou infrastrukturu hostovanou ve Spojených státech. Služba analýzy hrozeb Microsoft a jednotka pro analýzu kybernetických hrozeb Arkose (ACTIR) poskytly další data a poznatky, které posílily naši právní argumentaci.
V rámci našeho vyšetřování se nám podařilo potvrdit totožnost aktérů, kteří vedli operace Storm-1152: Duong Dinh Tu, Linh Van Nguyễn (známý také jako Nguyễn Van Linh) a Tai Van Nguyen sídlící ve Vietnamu. Podle našich zjištění tyto osoby provozovaly a psaly kód pro nelegální webové stránky, zveřejňovaly podrobné videonávody krok za krokem pro používání jejich produktů a poskytovaly chatové služby na pomoc těm, kteří jejich podvodné služby využívali.
Společnost Microsoft se mezitím obrátila na americké orgány činné v trestním řízení s doporučením k vyšetřování. Jsme vděční za spolupráci s orgány činnými v trestním řízení, které mohou přivést před soud ty, kdo chtějí poškodit naše zákazníky.
Duong Dinh Tuův kanál na YouTube s videi „jak obejít bezpečnostní opatření“
Dnešní akce je pokračováním strategie společnosti Microsoft, která se zaměřuje na širší ekosystém kyberzločinců a na nástroje, které kyberzločinci používají k provádění svých útoků. Vychází z našeho rozšíření legální metody, která se úspěšně používá k narušování působení malwaru a operací národních států. Uzavřeli jsme také partnerství s dalšími organizacemi napříč odvětvím, abychom posílili sdílení informací o podvodech a dále zlepšili naši umělou inteligenci a algoritmy strojového učení, které rychle odhalují a označují podvodné účty.
Jak jsme se už zmínili, žádná taková operace není hotová za jeden den. Boj proti kyberkriminalitě vyžaduje vytrvalost a neustálou ostražitost, aby bylo možné postihovat novou škodlivou infrastrukturu. I když budou mít dnešní právní kroky dopad na činnost skupiny Storm-1152, očekáváme, že ostatní aktéři hrozeb v důsledku toho upraví své metody. Jestliže chceme významně omezit dopady kyberkriminality, je i nadále nezbytná pokračující spolupráce veřejného a soukromého sektoru, jako je ta dnešní se společností Arkose Labs a americkými orgány činnými v trestním řízení.
Sledujte Microsoft