A Microsoftnál továbbra is kreatív módszereket keresünk az emberek online védelmére, és ez magában foglalja azt is, hogy nem toleráljuk azokat, akik termékeinkről hamis másolatokat készítenek, hogy másoknak kárt okozzanak. A csalárd online fiókok számos kiberbűncselekmény kapujaként szolgálnak, beleértve a tömeges adathalászatot, az identitáslopást és csalást, valamint az elosztott szolgáltatásmegtagadásos (DDoS) támadásokat. Éppen ezért ma az Arkose Labs, az egyik vezető kiberbiztonsági védelmi és robotkezelési szolgáltató értékes intelligens veszélyforrás-felderítési betekintéseivel a csalárd Microsoft-fiókok első számú eladója és létrehozója, az általunk Storm-1152-nek nevezett csoport ellen indítunk akciót. Határozott üzenetet küldünk azoknak, akik kiberbűnözés céljából csalárd Microsoft-termékeket akarnak létrehozni, értékesíteni vagy terjeszteni: figyelünk, tudomásul vesszük a körülményeket, és fellépünk ügyfeleink védelme érdekében. A Storm-1152 illegális weboldalakat és közösségi oldalakat üzemeltet, amelyeken hamis Microsoft-fiókokat és a személyazonosságot ellenőrző szoftverek megkerülésére szolgáló eszközöket árulnak a jól ismert technológiai platformokon. Ezek a szolgáltatások csökkentik az időt és az erőfeszítéseket, amelyekre a bűnözőknek szükségük van, hogy számos bűncselekményt és visszaélést kövessenek el az interneten. Eddig a Storm-1152 mintegy 750 millió hamis Microsoft-fiókot hozott létre eladásra, amivel a csoport több millió dolláros illegális bevételre tett szert, és a Microsoftnak és más vállalatoknak még többe került a bűnözői tevékenységük elleni küzdelem. A mai intézkedéssel a célunk a bűncselekményektől való elrettentés. Azzal, hogy igyekszünk lassítani a kiberbűnözők támadásainak sebességét, célunk, hogy növeljük az üzleti tevékenységük költségeit, miközben folytatjuk a nyomozást, és megvédjük ügyfeleinket és más online felhasználókat.
A Microsoft Veszélyforrás-intelligencia podcastjában közvetlenül a szakértőktől kaphat információkat. A podcast meghallgatása.
A kiberbűncselekményekhez vezető szolgáltatások megzavarása
A Storm-1152 jelentős szerepet játszik a rendkívül specializált, szolgáltatásként nyújtott kiberbűnözés ökoszisztémájában. A kiberbűnözőknek csalárd számlákra van szükségük, hogy támogassák nagyrészt automatizált bűnözői tevékenységüket. Mivel a vállalatok képesek gyorsan azonosítani és megszüntetni a csalárd számlákat, a bűnözőknek nagyobb mennyiségű számlára van szükségük ahhoz, hogy megkerüljék a kárenyhítési erőfeszítéseket. Ahelyett, hogy a kiberbűnözők több ezer csaló fiók létrehozásával töltenék az idejüket, egyszerűen megvásárolhatják őket a Storm-1152-től és más csoportoktól. Ez lehetővé teszi a bűnözők számára, hogy erőfeszítéseiket végső céljaikra, az adathalászatra, a levélszemetek küldésére, a zsarolóprogramokra és más típusú csalásokra és visszaélésekre összpontosítsák. A Storm-1152 és a hozzájuk hasonló csoportok számos kiberbűnöző számára teszik lehetővé, hogy hatékonyabban és eredményesebben hajtsák végre rosszindulatú tevékenységüket.
A Microsoft Veszélyforrás-intelligencia több, zsarolóprogramokkal, adatlopással és zsarolással foglalkozó csoportot azonosított, amelyek a Storm-1152 fiókjait használták. Octo Tempest, más néven Scattered Spider például hamis Microsoft-fiókokat szerzett a Storm-1152-től. Az Octo Tempest egy pénzügyileg motivált kiberbűnözői csoport, amely széleskörű pszichológiailag manipulatív kampányokat alkalmaz, hogy pénzügyi zsarolás céljából világszerte veszélyeztessen szervezeteket. A Microsoft továbbra is nyomon követi több más zsarolóvírus vagy zsarolási fenyegetés elkövetőit, akik a Storm-1152-től vásároltak hamis fiókokat támadásaik fokozására, beleértve a Storm-0252-t és a Storm-0455-öt.
December 7-én, csütörtökön a Microsoft bírósági végzést kapott New York déli körzetétől az egyesült államokbeli infrastruktúra lefoglalására és a Storm-1152 által a Microsoft ügyfeleinek megkárosítására használt weboldalak offline állapotba helyezésére. Bár ügyünk a csalárd Microsoft-fiókokra összpontosít, az érintett weboldalak más jól ismert technológiai platformok biztonsági intézkedéseinek megkerülésére szolgáló szolgáltatásokat is értékesítettek. A mai intézkedésnek tehát szélesebb körű hatása van, és a Microsofton kívüli felhasználók számára is előnyös. Konkrétan a Microsoft Digitális bűncselekmények részlege a következőket zavarta meg:
- Hotmailbox.me, egy webhely, amely csalárd Microsoft Outlook-fiókokat értékesít.
- A 1stCAPTCHA, AnyCAPTCHA és NoneCAPTCHA webhelyek, amelyek megkönnyítik a CAPTCHA megoldási szolgáltatás eszközfejlesztését, infrastruktúráját és értékesítését, hogy megkerüljék a használat megerősítését és a fiók valós személy általi beállítását. Ezek a webhelyek más technológiai platformok identitás-ellenőrzésének megkerülésére szolgáló eszközöket értékesítettek.
- A közösségi médiaoldalak, amelyeket aktívan használnak e szolgáltatások forgalmazására.
Képek a Storm-1152 illegális webhelyeiről.
A Microsoft elkötelezett amellett, hogy biztonságos digitális élményt nyújtson minden ember és szervezet számára a bolygón. Szorosan együttműködünk az Arkose Labsszel egy új generációs CAPTCHA védelmi megoldás üzembe helyezésében. A megoldás megköveteli, hogy minden leendő felhasználó, aki Microsoft-fiókot szeretne nyitni, azt állítsa, hogy ő egy ember (és nem robot), és különböző típusú kihívások megoldásával tanúsítsa ennek az állításnak a helyességét.
Kevin Gosschalk, az Arkose Labs alapítója és vezérigazgatója szerint: „A Storm-1152 egy félelmetes ellenség, amelyet kizárólag azzal a céllal hoztak létre, hogy pénzt keressenek azzal, hogy lehetővé teszik az ellenfeleknek komplex támadások elkövetését. A csoportot az különbözteti meg, hogy CaaS-üzletét átláthatóan, nem pedig a sötét weben építette fel. A Storm-1152 tipikus internetes vállalkozásként működött, képzést biztosított az eszközeihez, és még teljes körű ügyfélszolgálatot is nyújtott. A valóságban a Storm-1152 egy komoly csalásokhoz vezető nyitott kapu volt.”
A Storm-1152 tevékenysége nem csak a Microsoft szolgáltatási feltételeit sérti a csalárd fiókok értékesítésével, hanem szándékosan kárt akar okozni az Arkose Labs ügyfeleinek, és megtéveszti az áldozatokat, akik jogos felhasználóknak adják ki magukat, hogy megpróbálják megkerülni a biztonsági intézkedéseket.
Képernyőkép a Microsoft által kezdeményezett tartománylefoglalásról, mivel ez a webhely csalárd módon szerzett Microsoft-fiókokat próbál eladni
A Storm-1152 tevékenységének elemzése magában foglalta az észlelést, az elemzést, a telemetriát, a titkos tesztvásárlásokat és a visszafejtést, hogy pontosan meghatározzuk az Egyesült Államokban található rosszindulatú infrastruktúrát. A Microsoft Veszélyforrás-intelligencia és az Arkose intelligens veszélyforrás-felderítési kutatási egység (ACTIR) további adatokat és betekintéseket szolgáltatott jogi ügyünk megerősítéséhez.
A vizsgálat részeként sikerült megerősíteni a Storm-1152 műveleteit vezető szereplők – Duong Dinh Tu, Linh Van Nguyễn (más néven Nguyễn Van Linh) és Tai Van Nguyen – személyazonosságát, akiknek székhelye Vietnamban van. Megállapításaink szerint ezek a személyek működtették és írták a tiltott weboldalak kódját, részletes, lépésről lépésre történő használati utasításokat tettek közzé a termékeik használatáról oktatóvideókon keresztül, és csevegési szolgáltatásokat nyújtottak a csalárd szolgáltatásaikat igénybe vevőknek.
A Microsoft azóta büntetőjogi feljelentést tett az egyesült államokbeli bűnüldöző szerveknél. Hálásak vagyunk a bűnüldöző szervekkel való partneri kapcsolatért, amelyek az igazságszolgáltatás elé állíthatják azokat, akik kárt akarnak okozni ügyfeleinknek.
Duong Dinh Tu YouTube-csatornája útmutató videókat tartalmaz a biztonsági intézkedések megkerülésére.
A mai intézkedés a Microsoft stratégiájának folytatása, amely a szélesebb kiberbűnözői ökoszisztémát veszi célba, és a kiberbűnözők által támadásaik indításához használt eszközöket veszi célba. Ez egy olyan jogi módszer kiterjesztésére épül, amelyet sikeresen alkalmazunk rosszindulatú szoftverek és nemzetállami műveletek megzavarására. Az iparág más szervezeteivel is partneri kapcsolatba léptünk, hogy fokozzuk a csalással kapcsolatos információk megosztását, és továbbfejlesszük mesterséges intelligenciánkat és gépi tanulási algoritmusainkat, amelyek gyorsan felismerik és jelzik a csalárd fiókokat.
Amint azt már korábban is mondtuk, egyetlen nap alatt nem lehet teljes a bomlasztás. A kiberbűnözés elleni küzdelem kitartást és folyamatos éberséget igényel az új rosszindulatú infrastruktúrák megzavarása érdekében. Bár a mai jogi lépések hatással lesznek a Storm-1152 működésére, arra számítunk, hogy ennek eredményeképpen más fenyegető szereplők át fogják alakítani a technikáikat. A köz- és magánszektor folyamatos együttműködése, mint például a mai az Arkose Labs és az egyesült államokbeli bűnüldöző szervek között, továbbra is elengedhetetlen, ha érdemben csökkenteni akarjuk a kiberbűnözés hatását.
A Microsoft követése