På Microsoft fortsätter vi med att ta fram kreativa lösningar för att skydda personer online, vilket innebär att vi inte har någon tolerans för dem som skapar falska kopior av våra produkter, så att andra skadas. Falska onlinekonton fungerar som gatewayar för diverse cyberbrott som massnätfiske, identitetsstöld, identitetsbedrägerier och DDoS-attacker (Distributed Denial of Service). Det är därför som vi idag, med värdefulla hotinformationsinsikter från Arkose Labs, som är ledande inom cybersäkerhet och robothantering, arbetar för att oskadliggöra den största skaparen och distributören av falska Microsoft-konton – en grupp vi kallar Storm-1152. Vi sänder ett tydligt budskap till dem som försöker skapa, sälja eller distribuera falska Microsoft-produkter i cyberbrottsligt syfte: vi håller ögonen öppna, observerar och vidtar åtgärder för att skydda våra kunder. Storm-1152 driver olagliga webbplatser och sidor i sociala medier, där de säljer falska Microsoft-konton och verktyg för att överlista identitetsverifieringsprogram på de mest kända teknikplattformarna. Dessa tjänster reducerar den tid och ansträngning det krävs för brottslingarna att begå sina brottsliga gärningar och överträdelser online. Till dags dato har Storm-1152 skapat och sålt ungefär 750 miljoner falska Microsoft-konton och tagit in miljontals dollar i olovliga intäkter, vilket har kostat Microsoft och andra företag ännu mer i arbetet med att motverka denna kriminella aktivitet. Med dagens åtgärd är vårt mål att avskräcka från kriminellt beteende. Genom att tvinga ned den hastighet med vilken de cyberkriminella kan sätta igång sina attacker, strävar vi efter att höja kostnaderna för deras olagliga verksamhet, samtidigt som vi fortsätter med våra efterforskningar och vårt arbete med att skydda våra kunder och andra användare online.
Få insikter direkt från experterna i Microsoft Threat Intelligence-podden. Lyssna nu.
Oskadliggör gatewaytjänsterna för cyberbrott
Storm-1152 spelar en mycket avgörande roll i det synnerligen högspecialiserade ekosystemet cyberbrott-som-en-tjänst. Cyberbrottslingarna behöver falska konton för att kunna bedriva sina i hög grad automatiserade kriminella aktiviteter. Om företag snabbt kan identifiera och stänga ned falska konton, så måste brottslingarna ha tillgång till ett större antal konton om de ska kunna kringgå mototgärderna. Istället för att ägna tid åt att försöka skapa tusentals falska konton kan cyberbrottslingarna istället köpa dem från Storm-1152 och andra grupper. Detta gör det möjligt för de kriminella att fokusera sina ansträngningar på sina egentliga mål, som kan vara nätfiske, skräppost, utpressningstrojaner och andra typer av bedrägerier och missbruk. Storm-1152 och liknande grupper för det möjligt för cyberbrottslingar att bedriva sina skadliga aktiviteter mer effektivt.
Microsoft Threat Intelligence har identifierat flera grupper som ägnat sig åt utpressningstrojaner, datastölder och utpressning genom att använda Storm-1152-konton. Octo Tempest, exempelvis, även känt som Scattered Spider, införskaffade falska Microsoft-konton från Storm-1152. Octo Tempest är en finansiellt motiverad cyberbrottsgrupp som genomför breda sociala manipuleringskampanjer i syfte att kompromettera organisationer över hela världen med ekonomisk utpressning som sitt yttersta mål. Microsoft fortsätter att spåra flera andra hotaktörer som ägnar sig åt utpressning i olika former som har köpt falska konton från Storm-1152 för att kunna genomföra mer effektiva attacker, däribland Storm-0252 och Storm-0455.
Torsdagen den 7 december fattade The Southern District of New York ett domstolsbeslut till Microsofts fördel om att beslagta Storm-1152:s amerikanskt baserade infrastruktur och samtidigt ta ned de webbplatser som används av Storm-1152 för att skada Microsofts kunder. Även om vi fokuserar på falska Microsoft-konton, så sålde de aktuella kontona tjänster för att kringgå säkerhetssystemen även på andra välkända teknikplattformar. Dagens åtgärd har därför en bredare inverkan, som fler än bara Microsoft-användare tjänar på. Mer specifikt lyckades Microsofts Digital Crimes Unit oskadliggöra:
- Hotmailbox.me, en webbplats som säljer falska Microsoft Outlook-konton.
- 1stCAPTCHA, AnyCAPTCHA och NoneCAPTCHA, webbplatser som tillhandahåller och säljer de verktyg, den infrastruktur och den CAPTCHA-tjänst som krävs för att kringgå riktiga personers kontokonfigurationer och kontobekräftanden. Dessa webbplatser sålde verktyg för att kringgå identitetsverifiering för andra teknikplattformar.
- På sociala medieplattformar marknadsfördes dessa tjänster aktivt.
Bilder av Storm-1152:s olagliga webbplatser.
Microsoft strävar efter att ge alla personer och organisationer i världen en säker digital miljö. Vi arbetar tätt ihop med Arkose Labs i arbetet med att distribuera nästa generations CAPTCHA-försvarslösning. Lösningen kräver att varje enskild användare som vill öppna ett Microsoft-konto som representerar hen som mänsklig individ (inte en robot) måste verifiera riktigheten i denna representation genom att lösa olika typer av utmaningar.
Som Arkose Labs grundare och VD Kevin Gosschalk säger: ”Storm-1152 är en formidabel fiende vars existens har som enda syfte att tjäna pengar genom att förse brottslingar med de medel de behöver för att genomföra komplexa attacker. Gruppen utmärker sig genom det faktum att man byggde upp sin CaaS-verksamhet i dagsljuset, och inte på den mörka webben. Storm-1152 framstod som ett vanligt Internetföretag som tillhandahöll utbildning kring sina verktyg och till och med erbjöd heltäckande kundsupport. Men i själva verket var Storm-1152 en öppen gateway in i tungt bedrägeri.”
Storm-1152:s aktiviteter bryter inte bara mot Microsofts tjänstvillkor genom att sälja falska konton, utan man försöker även skada Arkose Labs kunder och bedra sina offer genom att låtsas vara legitima användare i sina försök att kringgå säkerhetsåtgärderna.
Skärmbild av ett domänbeslagtagande initierat av Microsoft eftersom den här webbplatsen försöker sälja bedrägligt erhållna Microsoft-konton
Vår analys av Storm-1152:s verksamhet omfattar identifiering, analys, telemetri, testköp under täckmantel och bakåtkompilering för att kunna komma åt den skadliga infrastruktur som används i USA. Microsoft Threat Intelligence och Arkose Cyber Threat Intelligence Research -enheten (ACTIR) tillhandahöll ytterligare information och insikter som stärkte vårt juridiska fall.
Som en del av vår undersökning kunde vi bekräfta identiteten hos ledande aktörer i Storm-1152:s verksamhet – Duong Dinh Tu, Linh Van Nguyễn (även känd som Nguyễn Van Linh) och Tai Van Nguyen – alla baserade i Vietnam. Vi kunde fastställa att dessa individer hanterade och skrev kod till olagliga webbplatser, publicerade detaljerade stegvisa instruktioner via videosjälvstudier om hur man ska använda deras produkter, och tillhandahöll även chattjänter för att bistå dem som använde deras olagliga tjänster.
Microsoft har efter det skickat in en ansökan till det amerikanska rättsväsendet. Vi är tacksamma för samarbetet med det amerikanska rättsväsendet, som kan ställa inför rätta de personer som försöker skada våra kunder.
Duong Dinh Tus YouTube-kanal med instruktionsvideor om hur man kringgår säkerhetsspärrarna.
Dagens åtgärd är en fortsättning av Microsofts strategi att fokusera på det bredare cyberbrottsliga ekosystemet och de verktyg som cyberbrottslingarna använder för att genomföra sina attacker. Den bygger på vår utvidgning av en juridisk metod som med framgång använts för att oskadliggöra skadlig kod i nationstäckande åtgärder. Vi har även samarbetat med andra organisationer i branschen, så att vi har kunnat öka informationsdelningen kring bedrägerier och därigenom förbättra våra AI- och maskininlärningsalgoritmer för att snabbt identifiera och flagga falska konton.
Som vi sa tidigare, så är inget oskadliggörande klart på en dag. Att bekämpa cyberbrottslighet kräver envishet och ständig vaksamhet så att nya skadliga infrastrukturer kan oskadliggöras. Även om dagens juridiska åtgärd kommer att hämma Storm-1152:s verksamhet, så utgår vi från att andra hotaktörer som ett resultat kommer att anpassa sina verksamheter därefter. Fortsatt samarbete inom offentlig och privat sektor, som dagens samarbete med Arkose Labs och de amerikanska rättsinstanserna, förblir en avgörande faktor om vi på ett meningsfullt sätt vill dämpa cyberbrottslighetens effekter.
Följ Microsoft