Trace Id is missing

Entschlossenes Vorgehen gegen Betrug: Wie Storm-1152 das Handwerk gelegt wurde

Teilen
Mehrere bunte Kreise mit verschiedenen Symbolen

Übersicht

Im März 2023 wurde ein großer Microsoft-Kunde von einer Reihe von Spam-Cyberangriffen heimgesucht, die zu Systemausfällen führten.

Was war die Ursache? Eine Flut von in betrügerischer Absicht erstellten Microsoft Outlook- und Hotmail-Konten mit dem Ziel, die Vorteile der Dienste des Kunden in Anspruch zu nehmen, die potenziellen Nutzern als Testversionen angeboten wurden. Diese gefälschten Konten hatten jedoch nicht die Absicht, jemals für diese Dienste zu bezahlen. Daraufhin blockierte der Kunde alle neuen Kontoeröffnungen über Microsoft Outlook- und Hotmail-Adressen.

Hinter dem Angriff steckte eine größere betrügerische Organisation mit Sitz in Vietnam – eine Gruppe, die von Microsoft als „Storm-1152“ bezeichnet wird.

Storm-1152 betrieb illegale Websites und Social Media-Seiten, auf denen betrügerische Microsoft-Konten und -Tools verkauft wurden, um Software zur Identitätsüberprüfung auf bekannten Technologieplattformen zu umgehen. Die Dienste von Storm-1152 dienten als Einfallstor für Cyberverbrechen, indem sie es ermöglichten, verschiedene kriminelle und missbräuchliche Handlungen im Internet schneller und mit geringerem Aufwand durchzuführen. Die Gruppe hat bisher etwa 750 Millionen betrügerische, für den Verkauf bestimmte Microsoft-Konten erstellt und damit mehrere Millionen Dollar an illegalen Einnahmen erzielt. Die Kosten für Unternehmen zur Bekämpfung dieser kriminellen Aktivitäten sind noch höher.

Wie sich herausstellte, nutzten mehrere Gruppen Storm-1152-Konten für den Einsatz von Ransomware, für Datendiebstahl und Erpressung. Zu diesen Gruppen zählten u. a.​ Octo Tempest, Storm-0252 und Storm-0455. Der Verkauf von Konten als Geschäftsmodell hatte die Gruppierung zu einem der größten Cybercrime-as-a-Service-Anbieter im Internet gemacht.

Microsoft verfolgte die Entwicklung dieser kriminellen Aktivitäten seit 2022 und setzte zunehmend maschinelle Lernalgorithmen zur Erkennung und Verhinderung der beobachteten Muster bei der Erstellung dieser betrügerischen Konten ein. Das Frühjahr 2023 markierte jedoch aufgrund des zunehmenden Missbrauchs von Microsoft- und Partnerplattformen einen Wendepunkt. Ein aggressiveres Vorgehen wurde notwendig, und dazu wurde ein funktionsübergreifendes Team innerhalb von Microsoft und mit unserem Partner Arkose Labs gebildet.

Unmittelbar nach dieser Maßnahme stellten wir einen Rückgang des Registrierungsverkehrs um ca. 60 % fest. Dieser Rückgang entsprach genau den 60 % oder mehr Registrierungen, die unsere Algorithmen oder Partner später als missbräuchlich identifizierten und die wir daraufhin von den Microsoft-Diensten ausschlossen. 

Diese konzertierten Bemühungen führten schließlich dazu, dass die Digital Crimes Unit (DCU) von Microsoft im Dezember 2023ersterechtliche Schritte einleitete, um die von Storm-1152 für den Verkauf seiner Dienste genutzten Websites zu beschlagnahmen und abzuschalten. Unmittelbar nach dieser Maßnahme stellten wir einen Rückgang des Registrierungsverkehrs um ca. 60 % fest. Dieser Rückgang entsprach genau den 60 % oder mehr Registrierungen, die unsere Algorithmen oder Partner später als missbräuchlich identifizierten und die wir daraufhin von den Microsoft-Diensten ausschlossen. Am 23. Juli reichten wir eine zweite Zivilklage ein, um neue Infrastrukturen zu blockieren, die die Gruppe nach unserer Klage im Dezember aufzubauen versuchte.

Dieser Bericht über neue Bedrohungen wirft einen Blick hinter die Kulissen der Aktion und zeigt, wie wichtig die branchenweite Zusammenarbeit bei der Bekämpfung von Cyberbedrohungen ist. Der Fall ist ein Beispiel dafür, wie die Branche den Rechtsweg nutzen kann, um andere kriminelle Gruppen abzuschrecken und die Sicherheit des Einzelnen im Internet zu gewährleisten. Er macht auch deutlich, wie wichtig das laufende Vorgehen gegen solche Aktivitäten ist, und dass rechtliche Schritte ein wirksames Mittel gegen Cyberkriminelle bleiben, auch wenn diese ihre Taktiken ändern. Denn mit einer einmaligen Aktion ist es nicht getan.

Entdeckung und Identifizierung von Storm-1152

Im Februar 2023 bemerkte Matthew Mesa, Senior Security Researcher im Microsoft Threat Intelligence Center (MSTIC), dass immer mehr Microsoft Outlook-Konten für Massen-Phishing-Kampagnen verwendet wurden. Zu seinen Aufgaben gehört es, E-Mail-Kampagnen zu analysieren und verdächtige Aktivitäten zu identifizieren. Als er feststellte, dass immer mehr betrügerische Konten verwendet wurden, fragte er sich, ob all diese Konten miteinander in Verbindung stehen könnten.

Sofort erstellte er das Profil eines neuen Bedrohungsakteurs, Storm-1152, verfolgte dessen Aktivitäten und informierte das Identity-Team von Microsoft über seine Erkenntnisse. Shinesa Cambric, Principal Product Manager des Anti-Abuse and Fraud Defense Teams von Microsoft, hatte diese bösartigen Aktivitäten ebenfalls verfolgt und eine Zunahme automatisierter Konten (Bots) festgestellt, die versuchten, die CAPTCHA-Prüfungen zu umgehen, die zum Schutz des Anmeldeprozesses für Microsoft-Verbraucherdienste eingesetzt werden.​

„Mein Team ist sowohl für unsere Verbraucher- als auch für unsere Unternehmensdienste zuständig, was bedeutet, dass wir täglich Milliarden von Konten vor Betrug und Missbrauch schützen", erklärt Cambric. „Unsere Aufgabe ist es, die Methoden der Kriminellen zu verstehen, damit wir Angriffe abwehren und den Zugriff auf unsere Systeme verhindern können. Wir denken ständig über Prävention nach – darüber, wie wir böswillige Akteure schon am Eingang stoppen können.“

Was die Aufmerksamkeit von Cambric auf sich gezogen hatte, war der zunehmende Betrug im Zusammenhang mit dieser Aktivität. Als mehrere Parteien – sowohl Microsoft-Partner als auch Teile der Lieferkette – über Schäden berichteten, die durch diese von Bots erstellten Microsoft-Konten verursacht wurden, wurde Cambric aktiv.

Gemeinsam mit Arkose Labs, einem Anbieter von Cybersicherheits- und Bot-Management-Lösungen, arbeitete das Cambric-Team daran, die betrügerischen Konten der kriminellen Gruppe zu identifizieren und zu deaktivieren, und informierte die Kollegen des MSTIC und der Arkose Cyber Threat Intelligence Research Unit (ACTIR) über Details ihrer Arbeit.

„Unsere Aufgabe ist es, die Methoden der Kriminellen zu verstehen, damit wir Angriffe abwehren und den Zugriff auf unsere Systeme verhindern können. Wir denken ständig über Prävention nach – darüber, wie wir böswillige Akteure schon am Eingang stoppen können.“ 
Shinesa Cambric 
Principal Product Manager, Anti-Abuse and Fraud Defense Team, Microsoft 

„Ursprünglich bestand unsere Aufgabe darin, Microsoft vor der Erstellung betrügerischer Konten zu schützen“, erklärt Patrice Boffa, Chief Customer Officer von Arkose Labs, „aber als Storm-1152 als Gruppe identifiziert wurde, begannen wir auch mit der Sammlung großer Mengen an Bedrohungsdaten.“

Wissenswertes über Storm-1152

Storm-1152 war eine im Aufbau befindliche, wirtschaftlich motivierte Gruppierung, die mit ihren Cybercrime-as-a-Service (CaaS)-Angeboten ungewöhnlich gut organisiert und professionell auftrat. Storm-1152 agierte wie ein seriöses Unternehmen und bot seinen illegalen CAPTCHA-Lösungsdienst in aller Öffentlichkeit an.

„Wenn man nicht wüsste, dass es sich um eine bösartige Organisation handelt, könnte man sie für ein beliebiges SaaS-Unternehmen halten.“ 
Patrice Boffa
Chief Customer Officer, Arkose Labs

„Wenn man nicht wüsste, dass es sich um eine bösartige Organisation handelt, könnte man sie für ein beliebiges SaaS-Unternehmen halten", sagt Boffa und fügt hinzu, dass AnyCAPTCHA.com von Storm-1152 eine öffentliche Website hatte, Zahlungen in Kryptowährungen über PayPal akzeptierte und sogar einen Supportkanal betrieb.

Der Dienst setzte Bots ein, um massenhaft CAPTCHA-Tokens zu sammeln, die an Kunden verkauft wurden, die diese dann für unzulässige Zwecke verwendeten (z. B. die massenhafte Erstellung betrügerischer Microsoft-Konten zur späteren Verwendung in Cyberangriffen), bevor sie abliefen. Die Versuche, betrügerische Konten zu erstellen, erfolgten so schnell und effizient, dass das Team von Arkose Labs zu dem Schluss kam, dass die Gruppe Machine-Learning-Technologie einsetzte. 

„Als wir sahen, wie schnell sie sich an unsere Abwehrmaßnahmen anpassten, wurde uns klar, dass viele ihrer Angriffe auf künstlicher Intelligenz basierten“, so Boffa. „Verglichen mit anderen Angreifern, die wir gesehen haben, nutzte Storm-1152 KI auf innovative Weise“, sagt Boffa. Die Teams von Arkose Labs und Microsoft beobachteten Veränderungen in den Geschäftstaktiken zur Anpassung an die verbesserten Erkennungs- und Präventionsmaßnahmen.

Ursprünglich bestand die Haupttätigkeit von Storm-1152 darin, Kriminellen Dienste zur Umgehung der Sicherheitsvorkehrungen anderer Technologieunternehmen anzubieten, wobei​Microsoft​ das Hauptopfer war. Storm-1152 bot Dienstezur Umgehung​​ von Schutzmechanismen an, um betrügerische Konten zu erstellen, und als die Gruppierung merkte, dass sie entdeckt worden war, bot sie einen neuen Dienst an. Anstatt Tools zur Umgehung von Schutzmechanismen für die Erstellung von Konten anzubieten, nutzte die kriminelle Gruppe ihre eigenen, von Bots erbeuteten CAPTCHA-Umgehungstoken, um betrügerische Microsoft-Konten für den Weiterverkauf zu erstellen.

„Was wir bei Storm-1152 beobachtet haben, ist typisch“, sagt Boffa. „Jedes Mal, wenn man einen Bedrohungsakteur erwischt, probiert er etwas anderes aus. Ihnen immer einen Schritt voraus zu sein, ist ein Katz-und-Maus-Spiel.“

Rechtliche Schritte gegen Storm-1152

Als die betrügerischen Aktivitäten im März 2023 einen vorläufigen Höhepunkt erreichten, wandten sich Cambric und Mesa an die Digital Crimes Unit (DCU) von Microsoft, um zu sehen, was zusätzlich getan werden konnte.

Als externe Vollstreckungsstelle von Microsoft verfolgt die DCU in der Regel nur die schwerwiegendsten oder hartnäckigsten Täter. Sie konzentriert sich auf Störungen, die eine Erhöhung der Kosten für die Geschäftstätigkeit zur Folge haben, wobei Strafanzeigen und/oder Zivilklagen die Hauptinstrumente sind.

Sean Farrell, Lead Counsel für das Cybercrime Enforcement Team in Microsofts DCU, Jason Lyons, Principal Manager of Investigations im DCU Cybercrime Enforcement Team von Microsoft, und Maurice Mason, Senior Cyber Investigator, führten zusammen weitere Untersuchungen durch. Sie berieten sich mit den externen Rechtsberatern von Microsoft, um eine rechtliche Strategie zu entwickeln, und trugen die für eine Zivilklage erforderlichen Beweise zusammen, wobei sie sich auf die Erkenntnisse mehrerer Microsoft-Teams und die von Arkose Labs gesammelten Bedrohungsdaten stützten.

„Als die DCU eingeschaltet wurde, war bereits viel Arbeit geleistet worden", erinnert sich Lyons. „Das Identity-Team und Arkose Labs hatten bereits wichtige Arbeit bei der Identifizierung und Deaktivierung von Konten geleistet, und da das MSTIC die betrügerischen Konten mit bestimmten Infrastrukturebenen in Verbindung bringen konnte, dachten wir, dass dies ein geeigneter Fall für die DCU sein würde.“

Zu den Faktoren, die dazu beitragen, dass ein Fall es wert ist, weiterverfolgt zu werden, gehören Gesetze, die für eine Zivilklage herangezogen werden können, die gerichtliche Zuständigkeit und die Bereitschaft eines Unternehmens, Personen öffentlich zu nennen.

Lyons vergleicht die Berücksichtigung dieser Faktoren mit einem Triage-Prozess, bei dem die DCU die Fakten und Informationen prüft, um festzustellen, ob alles auf einen geeigneten Fall hindeutet. „Ausgehend von dem, was wir tun, fragen wir uns, ob wir unsere Zeit und Energie darauf verwenden wollen, Maßnahmen zu ergreifen", sagt er. „Werden die Ergebnisse den Aufwand wert sein?" In diesem Fall lautete die Antwort: Ja.

Mason wurde beauftragt, die Aktivitäten von Storm-1152 im Bereich des Cybercrime-as-a-Service zu untersuchen. „Meine Aufgabe war es, zu verfolgen, wie Storm-1152 diese betrügerischen Konten an andere Gruppen von Bedrohungsakteuren verkaufte, und die Personen hinter Storm-1152 zu identifizieren“, erklärt Mason.

Durch ihre Ermittlungsarbeit, die eine gründliche Überprüfung von Social-Media-Seiten und Zahlungskennungen umfasste, konnten Microsoft und Arkose Labs die Personen hinter Storm-1152 identifizieren: Duong Dinh Tu, Linh Van Nguyễn (auch bekannt als Nguyễn Van Linh) und Tai Van Nguyen.

Ihre Erkenntnisse zeigten, dass diese Personen den Code für die illegalen Websites geschrieben und diese betrieben hatten, detaillierte schrittweise Anleitungen zur Nutzung ihrer Produkte in Form von Videotutorials veröffentlicht und Chat-Dienste zur Unterstützung der Nutzer ihrer betrügerischen Dienste angeboten hatten. Anschließend wurden weitere Verbindungen zur technischen Infrastruktur der Gruppe hergestellt, die das Team auf Hosts in den Vereinigten Staaten lokalisieren konnte.

„Einer der Gründe, warum wir bei der DCU solche Fälle verfolgen, ist die Abschreckung dieser Cyberkriminellen durch die Folgen. Dazu reichen wir Klagen oder Strafanzeigen ein, die zu Verhaftungen und strafrechtlicher Verfolgung führen.“
Sean Farrell 
Lead Counsel, Cybercrime Enforcement Team; Microsoft

Farrell sagt zur Entscheidung, den Fall weiterzuverfolgen: „In diesem Fall hatten wir Glück, denn die Teams hatten hervorragende Arbeit geleistet und die Akteure identifiziert, die die Infrastruktur und die kriminellen Dienste aufgebaut hatten.

Einer der Gründe, warum wir bei der DCU solche Fälle verfolgen, ist die Abschreckung dieser Cyberkriminellen durch die Folgen. Dazu reichen wir Klagen oder Strafanzeigen ein, die zu Verhaftungen und strafrechtlicher Verfolgung führen. Ich glaube, dass es eine sehr starke Botschaft ist, wenn man in der Lage ist, die Akteure zu identifizieren und sie in den Vereinigten Staaten in Anklageschriften öffentlich zu benennen.“​​

Wiederauftauchen von Storm-1152 und zweite Klage​

Nach der Sperrung im Dezember 2023 beobachtete das Team einen sofortigen Rückgang der Infrastrukturen, doch Storm-1152 tauchte wieder auf, startete eine neue Website namens RockCAPTCHA und veröffentlichte neue Anleitungsvideos, um seine Kunden zu unterstützen. RockCAPTCHA zielte auf Microsoft ab, indem es speziell entwickelte Dienste anbot, um die CAPTCHA-Sicherheitsmaßnahmen von Arkose Labs zu umgehen. Die Klage im Juli ermöglichte es Microsoft, die Kontrolle über diese Website zu erlangen und den Bedrohungsakteuren einen weiteren Schlag zu versetzen.

Die Arkose Cyber Threat Intelligence Research Unit (ACTIR) untersuchte auch, wie Storm-1152 versuchte, seine Dienste neu aufzubauen. Die Forscher stellten fest, dass die Gruppe ausgeklügeltere Taktiken anwandte, darunter den verstärkten Einsatz künstlicher Intelligenz (KI), um ihre Aktivitäten zu verschleiern und einer Entdeckung zu entgehen. Diese Wiederkehr ist bezeichnend für die Veränderungen in der Bedrohungslandschaft und zeigt die hochentwickelten Fähigkeiten von Angreifern, die mit KI-Technologien vertraut sind. 

Einer der Hauptbereiche, in denen Storm-1152 KI einsetzte, waren Umgehungstechniken. Arkose Labs stellte fest, dass die Gruppe KI einsetzte, um künstlich menschenähnliche Signaturen zu erzeugen.

Vikas Shetty ist Head of Product bei Arkose Labs und leitet dessen Abteilung für Bedrohungsforschung, ACTIR. „Der Einsatz von KI-Modellen ermöglicht es Angreifern, Systeme darauf zu trainieren, menschenähnliche Signaturen zu erzeugen, die dann in großem Maßstab für Angriffe genutzt werden können", so Shetty. „Die Komplexität und Vielfalt dieser Signaturen macht es für herkömmliche Erkennungsmethoden schwierig, Schritt zu halten.“

Darüber hinaus hat Arkose Labs beobachtet, dass Storm-1152 versucht, KI-Spezialisten zu rekrutieren und zu beschäftigen, darunter Masterstudenten, Doktoranden und sogar Professoren in Ländern wie Vietnam und China.

„Diese Personen werden dafür bezahlt, hochkomplexe KI-Modelle zu entwickeln, mit denen ausgeklügelte Sicherheitsmaßnahmen umgangen werden können. Das Fachwissen dieser KI-Experten stellt sicher, dass die Modelle nicht nur effektiv sind, sondern auch an die sich ständig weiterentwickelnden Sicherheitsprotokolle angepasst werden können“, so Shetty.

Um die Aktivitäten von Cyberkriminellen wirksam zu stoppen, ist es wichtig, hartnäckig zu bleiben und zu verfolgen, wie sie vorgehen und welche neuen Technologien sie nutzen.

„Wir müssen hartnäckig bleiben und Maßnahmen ergreifen, die es Kriminellen erschweren, Geld zu verdienen“, sagte Farrell. „Deshalb haben wir eine zweite Klage eingereicht, um die Kontrolle über diese neue Domain zu erlangen. Wir müssen ein Zeichen setzen, dass wir keine Aktivitäten tolerieren, die darauf abzielen, unsere Kunden und Einzelpersonen online Schaden zuzufügen.“

Erkenntnisse und Konsequenzen für die Zukunft

Mit Blick auf das Ergebnis der Ermittlungen und der Maßnahmen gegen Storm-1152 stellt Farrell fest, dass der Fall nicht nur wegen seiner Folgen für uns und andere betroffene Unternehmen von Bedeutung ist, sondern auch wegen der Bemühungen von Microsoft, die Auswirkungen dieser Operationen zu verringern, die Teil des Cybercrime-as-a-Service-Ökosystems sind.

Eine starke Botschaft an die Öffentlichkeit

„Der Nachweis, dass wir die verfügbaren rechtlichen Mittel so erfolgreich bei Malware-Angriffen und nationalen Operationen einsetzen können, hat dazu geführt, dass die Aktivitäten dieses Akteurs, die nach Einreichung der Klage für einige Zeit fast auf Null zurückgegangen waren, erheblich eingeschränkt oder eingestellt wurden", sagt Farrell. „Ich denke, wir haben gesehen, dass eine echte Abschreckung erreicht werden kann, und die Botschaft, die die Öffentlichkeit davon erhält, ist wichtig – nicht nur wegen der Wirkung, sondern auch mit Blick auf das allgemeine Wohl der Online-Community.“

Identitäten als neue Zugangsvektoren

Eine weitere wichtige Beobachtung ist, dass Bedrohungsakteure nicht mehr ausschließlich versuchen, Endpunkte zu kompromittieren, sondern zunehmend Identitäten ins Visier nehmen.  Wir sehen bei den meisten Ransomware-Angriffen, dass die Bedrohungsakteure gestohlene oder kompromittierte Identitäten als anfänglichen Angriffsvektor nutzen.
„Dieser Trend zeigt, dass sich die Identität als erster Zugangsvektor für zukünftige Angriffe durchsetzen wird“, sagt Mason. „CISOs sollten eine ernsthaftere Haltung zur Identitätspolitik einnehmen, wenn sie Modelle für ihre Organisationen erstellen, und sich zuerst auf die Identität konzentrieren, bevor sie sich den Endpunkten zuwenden.“

Ständige Innovation ist unerlässlich

Das Wiederauftauchen von Storm-1152 und seine KI-gestützten Strategien zeigen, dass sich Cyberbedrohungen ständig weiterentwickeln. Der ausgeklügelte Einsatz von KI zur Umgehung und Lösung von Problemen durch diese Gruppierung stellt herkömmliche Sicherheitsmaßnahmen vor große Herausforderungen. Unternehmen müssen sich darauf einstellen und modernste, KI-gestützte Erkennungs- und Abwehrtechniken einsetzen, um diesen Bedrohungen einen Schritt voraus zu sein.
„Der Fall Storm-1152 zeigt, wie wichtig kontinuierliche Innovation im Bereich der Cybersicherheit ist, um den ausgeklügelten Taktiken von Angreifern zu begegnen, die sich mit KI auskennen“, sagt Shetty. „Da sich diese Gruppen ständig weiterentwickeln, müssen auch die Abwehrmaßnahmen zum Schutz vor ihnen angepasst werden.“

Wir wissen, dass wir auch in Zukunft mit neuen Herausforderungen im Bereich der Sicherheit konfrontiert sein werden, aber wir sind angesichts der Erkenntnisse, die wir durch diese Aktion gewonnen haben, optimistisch. Als Teil der Gemeinschaft der Sicherheitsverantwortlichen wissen wir, dass wir gemeinsam besser für das Gemeinwohl arbeiten können und dass eine kontinuierliche Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor im Kampf gegen die Internetkriminalität weiterhin unerlässlich ist.

„Die teamübergreifende Zusammenarbeit bei dieser Aktion – die Kombination von Bedrohungsdaten, Identitätsschutz, Ermittlungen, Zuordnung, rechtlichen Schritten und externen Partnerschaften – ist ein Beispiel dafür, wie wir vorgehen sollten", so Farrell.

Verwandte Artikel

Unterbindung von Diensten, die Einfallstore für Cyberverbrechen darstellten

Microsoft ergreift mit Unterstützung im Bereich Threat Intelligence durch Arkose Labs technische und rechtliche Maßnahmen, um den größten Verkäufer und Ersteller betrügerischer Microsoft-Konten, eine Gruppe, die wir Storm-1152 nennen, in seinem Vorgehen einzudämmen. Wir beobachten die Situation kontinuierlich und werden passende Maßnahmen ergreifen, um unsere Kunden zu schützen.
Mehr erfahren

Microsoft, Amazon und internationale Strafverfolgungsbehörden gehen gemeinsam gegen Betrug beim technischen Support vor

Erfahren Sie, wie Microsoft und Amazon erstmals gemeinsam gegen illegale Callcenter für technischen Support in Indien tätig wurden.
Mehr erfahren

Einblicke in den Kampf gegen Hacker, die Krankenhäuser beeinträchtigt und Leben gefährdet haben

Werfen Sie einen Blick hinter die Kulissen einer gemeinsamen Operation von Microsoft, dem Softwarehersteller Fortra und Health-ISAC, um geknackte Cobalt Strike-Server zu stoppen und Cyberkriminellen das Handwerk zu legen.
Mehr erfahren

Microsoft Security folgen