Firma Microsoft nieustannie szuka twórczych sposobów ochrony osób w Internecie. Oznacza to brak tolerancji dla twórców fałszywych kopii naszych produktów w celu wyrządzenia szkód innym. Fałszywe konta internetowe umożliwiają popełnianie szeregu cyberprzestępstw, takich jak między innymi masowe wyłudzanie informacji, kradzież tożsamości i podszywanie się oraz ataki ukierunkowane na rozproszoną odmowę usługi, czyli DDoS. Z tego właśnie powoduj dzisiaj, opierając się na cennych szczegółowych informacjach z analizy zagrożeń od firmy Arkose Labs, wiodącego dostawcy rozwiązań w zakresie obrony cyberbezpieczeństwa i zarządzania botami, podejmujemy działania w celu zwalczania największego sprzedawcy i twórcy fałszywych kont Microsoft, grupy nazywanej przez nas Storm-1152. Wysyłamy mocny sygnał do tych, którzy próbują tworzyć, sprzedawać lub rozpowszechniać fałszywe produkty firmy Microsoft do wykorzystania w cyberprzestępstwach: obserwujemy, dostrzegamy te działania i będziemy podejmować kroki, aby chronić naszych klientów. Grupa Storm-1152 prowadzi nielegalne witryny internetowe i strony w mediach społecznościowych, sprzedając fałszywe konta Microsoft i narzędzia umożliwiające ominięcie oprogramowania do weryfikacji tożsamości na znanych platformach technologicznych. Te usługi skracają czas i wysiłek potrzebne przestępcom do prowadzenia szeregu działań przestępczych i dokonywania nadużyć w Internecie. Do tej pory grupa Storm-1152 utworzyła na sprzedaż około 750 milionów fałszywych kont Microsoft, co przyniosło jej wiele milionów nielegalnego dochodu i naraziło firmę Microsoft oraz inne firmy na jeszcze większe koszty ponoszone w celu zwalczania jej przestępczej działalności. Celem naszych dzisiejszych działań jest powstrzymanie aktywności przestępczej. Starając się spowolnić przeprowadzanie ataków przez cyberprzestępców, chcemy podnieść ich koszty prowadzenia działań, a jednocześnie kontynuować badania i chronić naszych klientów oraz innych użytkowników Internetu.
Posłuchaj opinii ekspertów w podkaście dotyczącym analizy zagrożeń Microsoft. Posłuchaj teraz.
Zwalczanie usług umożliwiających cyberprzestępstwa
Grupa Storm-1152 odgrywa znaczącą rolę w wysoce wyspecjalizowanym ekosystemie cyberprzestępstw jako usług (CaaS). Cyberprzestępcy potrzebują fałszywych kont do obsługi ich w dużej mierze zautomatyzowanych działań przestępczych. Firmy szybko identyfikują i zamykają fałszywe konta, dlatego przestępcy potrzebują większej liczby kont, aby obchodzić działania ograniczające ryzyko. Zamiast poświęcać czas na tworzenie tysięcy fałszywych kont, cyberprzestępcy mogą je po prostu kupić od grupy Storm-1152 i innych grup. Dzięki temu przestępcy mogą skoncentrować swoje działania na celach ostatecznych, czyli wyłudzaniu informacji, spamowaniu, wdrażaniu oprogramowania wymuszającego okup (ransomware) oraz innych rodzajach oszustw i nadużyć. Storm-1152 i grupy do niej podobne umożliwiają dziesiątkom cyberprzestępców prowadzenie złośliwych działań wydajniej i skuteczniej.
Centrum analiz zagrożeń firmy Microsoft zidentyfikowało wiele grup zajmujących się wymuszaniem okupów (czyli atakami ransomware), kradzieżą danych i szantażami, które korzystały z kont grupy Storm-1152. Na przykład grupa Octo Tempest, znana również jako Scattered Spider, uzyskała fałszywe konta Microsoft od grupy Storm-1152. Octo Tempest to grupa cyberprzestępcza motywowana finansowo, która prowadzi szeroko zakrojone kampanie inżynierii społecznej w celu dokonywania naruszeń w organizacjach na całym świecie i wymuszania haraczy. Firma Microsoft cały czas śledzi wiele innych źródeł zagrożeń trudniących się wymuszaniem okupów (ransomware) lub szantażami, w tym grupy Storm-0252 i Storm-0455, które kupiły fałszywe konta od grupy Storm-1152 w celu usprawnienia swoich ataków.
W czwartek 7 grudnia firma Microsoft uzyskała nakaz sądowy w Okręgu Południowym Nowego Jorku nakazujący przejęcie amerykańskiej infrastruktury i wyłączenie witryn internetowych używanych przez grupę Storm-1152 do wyrządzania szkód klientom firmy Microsoft. Nasza sprawa dotyczy przede wszystkim fałszywych kont Microsoft, ale za pośrednictwem tych witryn sprzedawano też usługi służące do omijania mechanizmów zabezpieczeń na innych znanych platformach technologicznych. Dzisiejsze działania mają więc szersze znaczenie i przyniosą korzyści także użytkownikom rozwiązań innych niż firmy Microsoft. W szczególności jednostce firmy Microsoft ds. cyberprzestępstw udało się zwalczyć:
- Hotmailbox.me — witrynę sprzedającą fałszywe konta usługi Microsoft Outlook.
- 1stCAPTCHA, AnyCAPTCHA i NoneCAPTCHA — witryny internetowe udostępniające narzędzia i infrastrukturę usług rozwiązywania testów CAPTCHA oraz obsługujące sprzedaż tych usług na potrzeby omijania potwierdzenia używania i skonfigurowania konta przez prawdziwą osobę. W tych witrynach sprzedawano narzędzia do obchodzenia weryfikacji tożsamości na innych platformach technologicznych.
- Witryny mediów społecznościowych aktywnie wykorzystywane do promowania tych usług.
Obrazy przedstawiające nielegalne witryny internetowe grupy Storm-1152.
Firma Microsoft dokłada wszelkich starań, aby zapewniać wszystkim osobom i organizacjom na świecie bezpieczne środowisko cyfrowe. Ściśle współpracujemy z firmą Arkose Labs nad wdrożeniem rozwiązania obronnego typu CAPTCHA nowej generacji. To rozwiązanie wymaga od każdego potencjalnego użytkownika chcącego utworzyć konto Microsoft oświadczenia, że jest człowiekiem (a nie botem), i zweryfikowania tego oświadczenia przez pomyślne rozwiązanie różnego typu testów.
Zgodnie ze słowami założyciela i dyrektora generalnego firmy Arkose Labs, Kevina Gosschalka: „Grupa Storm-1152 to groźny przeciwnik, który powstał wyłącznie w celu zarabiania pieniędzy przez umożliwianie adwersarzom przeprowadzania złożonych ataków. Tę grupę wyróżnia to, że zbudowała swój biznes CaaS otwarcie, a nie w dark webie. Grupa Storm-1152 działała jak typowa firma internetowa, zapewniając szkolenia dotyczące swoich narzędzi, a nawet oferując pełną obsługę klienta. W rzeczywistości grupa Storm-1152 była otwartą bramą do poważnych oszustw”.
Działalność grupy Storm-1152 nie tylko narusza warunki użytkowania usług firmy Microsoft przez sprzedaż fałszywych kont, ale jest też celowo szkodliwa dla klientów firmy Arkose Labs i służy oszukiwaniu poszkodowanych przez umożliwianie udawania legalnych użytkowników w celu omijania zabezpieczeń.
Zrzut ekranu przedstawiający przejęcie domeny zainicjowane przez firmę Microsoft w związku z tym, że dana witryna internetowa próbuje sprzedać konta Microsoft uzyskane w nieuczciwy sposób
Nasza analiza działań grupy Storm-1152 obejmowała wykrywanie, analizę, dane telemetryczne, wywiadowcze zakupy testowe i odtwarzanie w celu zlokalizowania złośliwej infrastruktury hostowanej w Stanach Zjednoczonych. Centrum analiz zagrożeń firmy Microsoft i jednostka badawcza firmy Arkose ds. analizy cyberzagrożeń (ACTIR, Arkose Cyber Threat Intelligence Research) dostarczyły dodatkowe dane i szczegółowe informacje, które wzmocniły naszą argumentację prawną.
W ramach dochodzenia udało nam się potwierdzić tożsamość osób kierujących działaniami grupy Storm-1152 — to Duong Dinh Tu, Linh Van Nguyễn (znany również jako Nguyễn Van Linh) i Tai Van Nguyen z Wietnamu. Z naszych ustaleń wynika, że osoby te obsługiwały i pisały kod tych nielegalnych witryn internetowych, publikowały szczegółowe instrukcje dotyczące korzystania z ich produktów w postaci filmów z samouczkami oraz świadczyły usługi za pośrednictwem czatu, aby pomagać osobom korzystającym z ich nieuczciwych usług.
Firma Microsoft zawiadomiła już o przestępstwie organy ścigania w Stanach Zjednoczonych. Jesteśmy wdzięczni za współpracę z organami ścigania, które mogą postawić przed wymiarem sprawiedliwości osoby chcące wyrządzić szkody naszym klientom.
Kanał w serwisie YouTube, w którym Duong Dinh Tu publikował filmy instruktażowe dotyczące omijania mechanizmów bezpieczeństwa.
Dzisiejsze działania stanowią kontynuację strategii firmy Microsoft polegającej na celowaniu w szerszy ekosystem cyberprzestępców i narzędzia wykorzystywane przez cyberprzestępców do przeprowadzania ataków. Opierają się one na rozszerzeniu metod prawnych stosowanych przez nas z powodzeniem w celu zwalczania złośliwego oprogramowania i działań państw narodowych. Nawiązaliśmy też współpracę z innymi organizacjami z branży, aby zwiększać wymianę zdobywanych informacji na temat oszustw i jeszcze bardziej ulepszać nasze algorytmy sztucznej inteligencji oraz uczenia maszynowego, które szybko wykrywają i oflagowują fałszywe konta.
Jak już stwierdziliśmy wcześniej, zagrożeń nie można zwalczyć w ciągu jednego dnia. Walka z cyberprzestępstwami wymaga wytrwałości i ciągłego zachowywania czujności na potrzeby zwalczania nowej złośliwej infrastruktury. Dzisiejsze działania prawne wpłyną na działalność grupy Storm-1152, ale spodziewamy się, że w ich wyniku inne źródła zagrożeń dostosują wykorzystywane techniki. Ciągła współpraca sektorów publicznego i prywatnego, taka jak dzisiejsza współpraca z firmą Arkose Labs i z amerykańskimi organami ścigania, jest nadal niezbędna, jeśli chcemy znacząco ograniczyć wpływ cyberprzestępstw.
Obserwuj firmę Microsoft