V spoločnosti Microsoft stále hľadáme kreatívne spôsoby ochrany ľudí online, a to zahŕňa aj nulovú toleranciu voči tým, ktorí vytvárajú podvodné kópie našich produktov s cieľom uškodiť iným. Podvodné online kontá slúžia ako brána k veľkému množstvu počítačových zločinov vrátane masového neoprávneného získavania údajov, krádeže identity, podvodov a distribuovaných útokov zahltením servera služby (DDoS). Preto sme sa dnes s využitím cenných informácií o analýze hrozieb od spoločnosti Arkose Labs, ktorá je popredným dodávateľom riešení kybernetickej bezpečnosti a riadenia botov, pustili do boja proti najväčšiemu predajcovi a tvorcovi podvodných kont Microsoft – skupine, ktorú sme označili ako Storm-1152. Vysielame jasný signál pre tých, ktorí sa snažia vytvárať, predávať alebo distribuovať podvodné produkty Microsoft určené pre počítačový zločin: pozeráme sa, všímame si hrozby a prijmeme kroky na ochranu našich zákazníkov. Storm-1152 prevádzkuje nelegálne webové lokality a stránky na sociálnych sieťach, na ktorých predáva podvodné kontá Microsoft a nástroje slúžiace na obchádzanie softvéru na overenie identity v rámci známych technologických platforiem. Tieto služby umožňujú zločincom rýchlejšie a ľahšie vykonávať veľké množstvo kriminálnych a škodlivých činností. K dnešnému dňu skupina Storm-1152 vytvorila na účel predaja približne 750 miliónov podvodných kont Microsoft, ktoré jej priniesli nelegálne príjmy v miliónoch dolárov, pričom Microsoft a iné spoločnosti musia vynakladať ešte viac peňazí na boj proti tejto kriminálnej činnosti. Kroky, ktoré sme dnes prijali, majú za cieľ odradiť od kriminálneho správania. Usilujeme sa obmedziť rýchlosť, akou počítačoví zločinci spúšťajú útoky, a tým zvýšiť ich náklady na ich činnosť, pričom zároveň pokračujeme v našom skúmaní a chránime našich zákazníkov a iných online používateľov.
Získajte prehľady priamo od odborníkov v podcaste Microsoft Analýza hrozieb. Vypočuť si.
Odstavenie služieb, ktoré sú bránou k počítačovým zločinom
Storm-1152 zohráva významnú úlohu vo vysoko špecializovanom ekosystéme počítačového zločinu ako služby. Počítačoví zločinci na podporu svojich zväčša automatizovaných kriminálnych aktivít potrebujú podvodné kontá. Spoločnosti dokážu podvodné kontá rýchlo identifikovať a zastaviť, a preto zločinci na obchádzanie protiopatrení potrebujú väčšie množstvo kont. Namiesto toho, aby trávili čas vytváraním tisícok podvodných kont, počítačoví zločinci si ich môžu jednoducho kúpiť od skupiny Storm-1152 alebo iných skupín. To zločincom umožňuje sústrediť svoje úsilie na konečné ciele, ktoré zahŕňajú neoprávnené získavanie údajov, rozosielanie nevyžiadanej pošty, ransomware a iné druhy podvodov a zneužití. Vďaka skupine Storm-1152 a im podobným môžu mnohí počítačoví zločinci vykonávať svoje škodlivé aktivity účinnejšie a efektívnejšie.
Microsoft Analýza hrozieb identifikovala viacero skupín zapojených do ransomwaru, krádeže údajov a vydierania, pri ktorých boli využité kontá Storm-1152. Podvodné kontá Microsoft od skupiny Storm-1152 získala napríklad skupina Octo Tempest, známa aj ako Scattered Spider. Octo Tempest je finančne motivovaná skupina zameraná na počítačový zločin, ktorá s využitím rozsiahlych kampaní sociálneho inžinierstva kompromituje organizácie na celom svete, pričom jej cieľom je finančné vydieranie. Spoločnosť Microsoft pokračuje v sledovaní viacerých ďalších aktérov ransomwaru alebo hrozieb vydierania, ktorí si zakúpili podvodné kontá od skupiny Storm-1152 na rozšírenie svojich útokov, vrátane skupín Storm-0252 a Storm-0455.
Vo štvrtok 7. decembra získala spoločnosť Microsoft od súdu pre južný obvod New Yorku súdny príkaz na zhabanie infraštruktúry nachádzajúcej sa v USA a vypnutie webových lokalít, ktoré skupina Storm-1152 používala na poškodzovanie zákazníkov spoločnosti Microsoft. Hoci je náš prípad zameraný na podvodné kontá Microsoft, dotknuté webové lokality predávali aj služby určené na obchádzanie bezpečnostných opatrení na iných známych technologických platformách. Z tohto dôvodu majú dnešné kroky väčší dosah a sú prínosom aj pre používateľov služieb od iných spoločností ako Microsoft. Jednotka na boj proti digitálnym zločinom spoločnosti Microsoft konkrétne odstavila nasledujúce činnosti:
- Hotmailbox.me, webová lokalita na predaj podvodných kont Microsoft Outlook.
- 1stCAPTCHA, AnyCAPTCHA a NoneCAPTCHA, webové lokality poskytujúce nástroje, infraštruktúru a predaj služby riešenia testov CAPTCHA na obchádzanie potvrdenia použitia a nastavenia konta skutočnou osobou. Tieto lokality predávali nástroje na obchádzanie overenia identity pre iné technologické platformy.
- Lokality na sociálnych sieťach, ktoré sa aktívne používali na ponúkanie týchto služieb.
Obrázky nelegálnych webových lokalít skupiny Storm-1152.
Spoločnosť Microsoft sa usiluje poskytovať bezpečné digitálne prostredie pre všetkých ľudí a organizácie na svete. Úzko spolupracujeme so spoločnosťou Arkose Labs na nasadení riešenia ochrany CAPTCHA novej generácie. Od každého domnelého používateľa, ktorý si chce otvoriť konto Microsoft, toto riešenie vyžaduje, aby preukázal, že je ľudská bytosť (a nie bot) a potvrdil túto skutočnosť vyriešením rôznych typov výziev.
Zakladateľ a generálny riaditeľ spoločnosti Arkose Labs Kevin Gosschalk hovorí: „Storm-1152 je obávaný nepriateľ a má jediný cieľ – zarábať peniaze na tom, že zločincom uľahčuje vykonávanie komplexných útokov. Táto skupina je príznačná tým, že svoju službu CaaS vytvorila ako normálne viditeľnú a neskrývala ju na temnom webe (dark web). Storm-1152 fungovala ako typická internetová firma, ktorá poskytovala školenia pre svoje nástroje a dokonca aj kompletnú podporu pre zákazníkov. V skutočnosti bola skupina Storm-1152 odomknutou bránou k závažnému podvodu.“
Storm-1152 nielenže porušuje podmienky poskytovania služieb spoločnosti Microsoft tým, že predáva podvodné kontá, ale sa aj zámerne usiluje uškodiť zákazníkom spoločnosti Arkose Labs a klamať obete predstieraním oprávneného používateľa pri pokuse o obídenie bezpečnostných opatrení.
Snímka obrazovky zhabania domény iniciovaného spoločnosťou Microsoft na základe skutočnosti, že daná webová lokalita sa pokúša o predaj podvodne získaných kont Microsoft
Naša analýza činnosti skupiny Storm-1152 zahŕňala detekciu, analýzu, telemetriu, testovacie nákupy v utajení a spätnú analýzu na presné určenie škodlivej infraštruktúry hosťovanej v Spojených štátoch. Microsoft Analýza hrozieb a výskumná jednotka na analýzu kybernetických hrozieb Arkose Cyber Threat Intelligence Research (ACTIR) poskytli ďalšie údaje a prehľady na posilnenie nášho právneho prípadu.
V rámci nášho skúmania sa nám podarilo potvrdiť identitu aktérov stojacich na čele operácií skupiny Storm-1152 – sú to Duong Dinh Tu, Linh Van Nguyễn (známy aj ako Nguyễn Van Linh) a Tai Van Nguyen pôsobiaci vo Vietname. Naše zistenia ukazujú, že tieto osoby prevádzkovali nelegálne webové lokality a napísali ich kód, publikovali videokurzy s podrobnými pokynmi na používanie ich produktov a poskytovali chatové služby určené na pomoc používateľom ich podvodných služieb.
Spoločnosť Microsoft vec neskôr postúpila orgánom presadzovania práva USA. Ďakujeme za spoluprácu orgánom presadzovania práva a veríme, že postavia pred súd tých, ktorí majú v úmysle uškodiť našim zákazníkom.
Youtubový kanál používateľa Duong Dinh Tu obsahujúci videá s návodmi na obchádzanie bezpečnostných opatrení.
Dnešné kroky sú pokračovaním stratégie spoločnosti Microsoft, ktorá je zacielená na širší ekosystém počítačových zločincov a má na muške nástroje používané počítačovými zločincami na spúšťanie útokov. Nadväzujeme nimi na rozšírenie legálnej metódy, ktorá sa úspešne použila na odstavenie škodlivého softvéru a operácií na celoštátnej úrovni. Spojili sme sa tiež s inými organizáciami v odvetví s cieľom intenzívnejšieho zdieľania informácií o podvodoch a ďalšieho zlepšenia našej umelej inteligencie a algoritmov strojového učenia, ktoré rýchlo zisťujú a označujú podvodné kontá.
Ako sme uviedli už skôr, žiadne odstavenie sa neuskutoční za jeden deň. Boj s počítačovým zločinom si vyžaduje vytrvalosť a neustálu ostražitosť na odstavenie novej škodlivej infraštruktúry. Dnešné právne kroky síce zasiahnu operácie skupiny Storm-1152, očakávame však, že v dôsledku týchto krokov prispôsobia svoje postupy iní aktéri hrozieb. Nevyhnutným predpokladom zmysluplného obmedzovania vplyvu počítačového zločinu je pokračujúca spolupráca verejného a súkromného sektora, rovnako ako v dnešnom prípade spoločného postupu spoločnosti Arkose Labs a orgánov presadzovania práva USA.
Sledujte Microsoft