Trace Id is missing

Tietoverkkorikollisuuden yhdyskäytäväpalvelujen häiritseminen

Henkilö kirjoittaa tietokoneella, jonka näytöllä on puhelinsovellus.
Me Microsoftilla etsimme jatkuvasti luovia tapoja suojella ihmisiä verkossa, ja siihen kuuluu myös se, että emme suvaitse niitä, jotka luovat tuotteistamme vilpillisiä kopioita vahingoittaakseen muita. Vilpilliset verkkotilit toimivat porttina tietoverkkorikollisuuden muodoille, joita ovat muun muassa laajamittainen tietojenkalastelu, identiteettivarkaudet ja petokset sekä palvelunestohyökkäykset (DDoS). Siksi me yhdessä Arkose Labsin, joka on johtava kyberturvallisuuden puolustus- ja bottihallintatoimittaja, arvokkaiden uhkatietojen avulla jahtaamme Storm-1152-nimistä ryhmää, joka myy ja luo eniten vilpillisiä Microsoft-tilejä. Lähetämme vahvan viestin niille, jotka pyrkivät luomaan, myymään tai levittämään vilpillisiä Microsoft-tuotteita tietoverkkorikoksia varten: seuraamme tilannetta, huomioimme sen ja toimimme suojellaksemme asiakkaitamme.   Storm-1152 ylläpitää laittomia verkkosivustoja ja sosiaalisen median sivuja, joilla myydään vilpillisiä Microsoft-tilejä ja työkaluja, joilla voi ohittaa tunnettujen teknologia-alustojen henkilöllisyyden todentamisohjelmistot. Nämä palvelut vähentävät aikaa ja vaivaa, joita rikolliset tarvitsevat monien rikosten ja väärinkäytösten tekemiseen verkossa. Tähän mennessä Storm-1152 on luonut myyntiin noin 750 miljoonaa väärennettyä Microsoft-tiliä, mikä on tuottanut ryhmälle miljoonia dollareita laittomia tuloja, ja tämän rikollisen toiminnan torjuminen on maksanut Microsoftille ja muille yrityksille vielä enemmän.   Nykyisillä toimilla tavoitteenamme on estää rikollinen käyttäytyminen. Pyrimme hidastamaan verkkorikollisten hyökkäysnopeutta ja nostamaan heidän liiketoimintakustannuksiaan samalla, kun jatkamme tutkimuksia ja asiakkaidemme ja muiden verkkokäyttäjien suojaamista.

Storm-1152:lla on merkittävä rooli erikoistuneessa tietoverkkorikos palveluna -ekosysteemissä. Verkkorikolliset tarvitsevat väärennettyjä tilejä tukeakseen pitkälti automatisoitua rikollista toimintaansa. Kun yritykset pystyvät nopeasti tunnistamaan ja sulkemaan vilpilliset tilit, rikolliset tarvitsevat enemmän tilejä kiertääkseen torjuntatoimet. Sen sijaan, että verkkorikolliset käyttäisivät aikaa tuhansien vilpillisten tilien luomiseen, he voivat yksinkertaisesti ostaa niitä Storm-1152:lta ja muilta ryhmiltä. Näin rikolliset voivat keskittää ponnistelunsa lopullisiin tavoitteisiinsa eli tietojen kalasteluun, roskapostitukseen, kiristysohjelmiin ja muihin petoksiin ja väärinkäytöksiin. Storm-1152 ja sen kaltaiset ryhmät antavat lukuisille verkkorikollisille mahdollisuuden toteuttaa haitallisia toimiaan entistä tehokkaammin.

 

Microsoft Threat Intelligence on tunnistanut useita Storm-1152-tilejä käyttäneitä ryhmiä, jotka ovat tehneet kiristysohjelmia, tietovarkauksia ja kiristyksiä. Esimerkiksi Octo Tempest, joka tunnetaan myös nimellä Scattered Spider, hankki vilpillisiä Microsoft-tilejä Storm-1152:lta. Octo Tempest on taloudellisesti motivoitunut tietoverkkorikosryhmä, joka käyttää laajoja käyttäjän manipulointi -kampanjoita vaarantaakseen organisaatioiden toimintaa eri puolilla maailmaa tavoitteenaan taloudellinen kiristys. Microsoft jäljittää edelleen useita muita kiristysohjelmia käyttäviä uhkaajia, kuten Storm-0252 ja Storm-0455, jotka ovat ostaneet vilpillisiä tilejä Storm-1152:lta tehostaakseen hyökkäyksiään.

Torstaina 7. joulukuuta Microsoft sai New Yorkin eteläiseltä piirikunnalta oikeuden määräyksen takavarikoida Yhdysvalloissa sijaitseva infrastruktuuri ja poistaa verkosta verkkosivustot, joita Storm-1152 käytti Microsoftin asiakkaiden vahingoittamiseen. Vaikka tapauksessamme keskitytään vilpillisiin Microsoft-tileihin, kyseiset verkkosivustot myivät myös muiden tunnettujen teknologia-alustojen turvatoimien kiertämiseen tarkoitettuja palveluja. Tämänpäiväisellä toimella on siis laajempi vaikutus, joka hyödyttää muitakin kuin Microsoft-käyttäjiä. Erityisesti Microsoftin digitaalisten rikosten yksikkö keskeytti seuraavat:

  • Hotmailbox.me, sivusto, joka myi vilpillisiä Microsoft Outlook -tilejä.
  • 1stCAPTCHA, AnyCAPTCHA ja NoneCAPTCHA, verkkosivustot, jotka tarjoavat CAPTCHA-ratkaisupalvelun työkaluja, infrastruktuuria ja myyntiä. Näillä voidaan ohittaa oikean henkilön tekemä käytön vahvistus ja tilin käyttöönotto. Nämä sivustot myivät käyttäjätietojen tarkistamisen ohitustyökaluja muille teknologia-alustoille.
  • Sosiaalisen median sivustoja käytettiin aktiivisesti näiden palvelujen markkinointiin.
Koontinäyttö, jossa näkyy tekoäly captcha-tunnistusta varten
Kuvia Storm-1152:n laittomista sivustoista.

Microsoft on sitoutunut tarjoamaan turvallisen digitaalisen kokemuksen jokaiselle maailman ihmiselle ja organisaatiolle. Teemme tiivistä yhteistyötä Arkose Labsin kanssa uuden sukupolven CAPTCHA-puolustusratkaisun käyttöönottamiseksi. Ratkaisu edellyttää, että jokainen mahdollinen käyttäjä, joka haluaa avata Microsoft-tilin, vakuuttaa olevansa ihminen (eikä robotti) ja todentaa tämän vakuutuksen paikkansapitävyyden ratkaisemalla erityyppisiä haasteita.

Arkose Labsin perustaja ja toimitusjohtaja Kevin Gosschalk sanoo: “Storm-1152 on valtava vihollinen, jonka ainoana tarkoituksena on tehdä rahaa antamalla vastustajille mahdollisuus tehdä monimutkaisia hyökkäyksiä. Ryhmän erityispiirteenä on se, että se rakensi CaaS-liiketoimintansa päivänvalossa eikä pimeässä verkossa. Storm-1152 toimi tyypillisenä internet-yrityksenä, joka tarjosi koulutusta työkaluihinsa ja jopa täyden asiakastuen. Todellisuudessa Storm-1152 oli lukitsematon portti vakavaan petokseen.”

Storm-1152:n toiminta ei ainoastaan riko Microsoftin palveluehtoja myymällä vilpillisiä tilejä, vaan se pyrkii myös tarkoituksellisesti vahingoittamaan Arkose Labsin asiakkaita ja huijaamaan uhreja tekeytymällä laillisiksi käyttäjiksi yrittäessään ohittaa turvatoimet.

Microsoft on myynyt tämän verkkotunnuksen.
Kuvakaappaus Microsoftin käynnistämästä verkkotunnuksen takavarikosta, koska tämä verkkosivusto yrittää myydä vilpillisesti hankittuja Microsoft-tilejä

Analysoimme Storm-1152:n toimintaa muun muassa havaitsemalla, analysoimalla, telemetrialla, peitetehtävissä tehdyillä testiostoilla ja takaisinmallinnuksella Yhdysvalloissa sijaitsevan haitallisen infrastruktuurin paikallistamiseksi. Microsoft Threat Intelligence ja Arkose Cyber Threat Intelligence Research  -yksikkö (ACTIR) tarjosivat lisätietoja oikeustapauksen vahvistamiseksi.

Osana tutkimuksiamme pystyimme vahvistamaan Storm-1152:n toimintaa johtavien Vietnamista kotoisin olevien toimijoiden henkilöllisyydet – Duong Dinh Tu, Linh Van Nguyễn (tunnetaan myös nimellä Nguyễn Van Linh) ja Tai Van Nguyen. Löydöksemme osoittavat, että nämä henkilöt ylläpitivät ja kirjoittivat laittomien verkkosivustojen koodin, julkaisivat yksityiskohtaisia vaiheittaisia ohjeita tuotteidensa käytöstä video-opetusvideoiden avulla ja tarjosivat chat-palveluja auttaakseen niitä, jotka käyttivät heidän huijauspalvelujaan.

Microsoft on sen jälkeen tehnyt rikosilmoituksen Yhdysvaltain lainvalvontaviranomaisille. Olemme kiitollisia kumppanuudestamme lainvalvontaviranomaisten kanssa, jotka voivat saattaa asiakkaitamme vahingoittavat henkilöt oikeuden eteen.
 

Duong Dinh Tun YouTube-kanava
Duong Dinh Tun YouTube-kanava, jossa on "ohjevideoita" turvatoimien ohittamiseksi.

Tämän päivän toimenpide on jatkoa Microsoftin strategialle, jonka kohteena on laajempi tietoverkkorikollisuuden ekosysteemi ja toimien kohdistaminen työkaluihin, joita tietoverkkorikolliset käyttävät hyökkäystensä käynnistämiseen. Se perustuu laillisen menetelmän laajentamiseen, jota on käytetty menestyksekkäästi haittaohjelmien keskeyttämiseen kansallisvaltioiden operaatioissa. Olemme myös tehneet yhteistyötä muiden alan organisaatioiden kanssa lisätäksemme petoksia koskevien tietojen jakamista ja parantaaksemme edelleen tekoäly- ja koneoppimisalgoritmejamme, jotka havaitsevat ja merkitsevät vilpilliset tilit nopeasti.

Kuten olemme sanoneet aiemminkin, mikään keskeytys ei ole valmis yhdessä päivässä. Tietoverkkorikollisuuden torjunta edellyttää sitkeyttä ja jatkuvaa valppautta, jotta uusi haitallinen infrastruktuuri voidaan keskeyttää. Vaikka tämänpäiväinen oikeustoimi vaikuttaa Storm-1152:n toimintaan, odotamme, että muut uhkatekijät muokkaavat tekniikoitaan sen seurauksena. Jatkuva julkisen ja yksityisen sektorin yhteistyö, kuten tämänpäiväinen yhteistyö Arkose Labsin ja Yhdysvaltain lainvalvontaviranomaisten kanssa, on edelleen olennaisen tärkeää, jos haluamme merkittävästi vähentää tietoverkkorikollisuuden vaikutuksia.

Aiheeseen liittyviä artikkeleita

Microsoft, Amazon ja kansainväliset lainvalvontaviranomaiset yhdistävät voimansa teknisen tuen petosten torjunnassa

Katso, miten Microsoft ja Amazon yhdistivät ensimmäistä kertaa voimansa Intian laittomien teknisen tuen puhelinpalvelukeskusten lopettamiseksi.

Sisäpiirin tietoa sairaaloita häiritsevien ja ihmishenkiä vaarantavien hakkereiden torjunnasta

Kurkista kulissien taakse Microsoftin, ohjelmistovalmistaja Fortran ja Health-ISAC:in yhteisessä operaatiossa, jonka tarkoituksena on keskeyttää murrettujen Cobalt Strike -palvelimien käyttö ja vaikeuttaa verkkorikollisten toimintaa.

Perustietoverkkohygienia estää 99 prosenttia hyökkäyksistä

Perustietoverkkohygienia on edelleen paras tapa puolustaa organisaation käyttäjätietoja, laitteita, tietoja, sovelluksia, infrastruktuuria ja verkkoja 98 prosentilta kaikista verkkouhista. Tutustu käytännön vinkkeihin kattavassa oppaassa.

Seuraa Microsoft Securitya