У корпорації Майкрософт ми завжди шукаємо творчі способи захистити користувачів в Інтернеті й не толеруємо тим, хто створює підроблені копії наших продуктів, щоб нашкодити іншим. Підроблені онлайнові облікові записи є шлюзом для цілої низки кіберзлочинів, зокрема масового фішингу, крадіжки ідентифікаційних даних і шахрайства, а також розподілених атак типу "відмова в обслуговуванні" (DDoS). Ось чому сьогодні, використовуючи цінну інформацію аналітики кіберзагроз від Arkose Labs, провідного постачальника рішень у галузі кібербезпеки та керування ботами, ми вживаємо заходів проти найбільшого продавця та розробника підроблених облікових записів Microsoft – групу, яку ми ідентифікували як Storm-1152. Ми надсилаємо чіткий сигнал тим, хто намагається створювати, продавати або розповсюджувати підроблені продукти Microsoft для кіберзлочинів: ми спостерігаємо, ми знаємо про загрозу та вживатимемо заходів для захисту наших клієнтів. Storm-1152 керує нелегальними веб-сайтами та сторінками в соцмережах, де продають підроблені облікові записи Microsoft та інструменти для обходу програмного забезпечення для перевірки ідентичності на відомих технологічних платформах. Ці служби дають злочинцям змогу швидше та легше здійснювати велику кількість злочинних і зловмисних дій в Інтернеті. На сьогоднішній день група Storm-1152 створила для продажу приблизно 750 мільйонів підроблених облікових записів Microsoft, які приносять їй мільйони доларів незаконного доходу, через що корпорація Майкрософт та інші компанії повинні витрачати ще більше грошей на боротьбу з цією злочинною діяльністю. Наші заходи спрямовані на протидію злочинній діяльності. Ми намагаємося сповільнити темпи атак кіберзлочинців і змусити їх витрачати більше коштів. Водночас ми продовжуємо розслідування й захищаємо наших клієнтів та інших користувачів в Інтернеті.
Дізнавайтеся аналітику безпосередньо від експертів у подкасті Аналізу загроз Microsoft. Прослухати.
Припинення служб, які є шлюзом для кіберзлочинів
Storm-1152 грає важливу роль у високоспеціалізованій екосистемі "кіберзлочин як послуга". Кіберзлочинцям потрібні підроблені облікові записи, щоб підтримувати свою злочинну діяльність із високим рівнем автоматизації. Якщо компанії зможуть швидко виявляти та закривати підроблені облікові записи, злочинцям потрібно буде більше облікових записів, щоб обходити захисні механізми. Замість того, щоб витрачати час на створення тисяч підроблених облікових записів, кіберзлочинці можуть просто купувати їх у Storm-1152 та інших груп. Це дає злочинцям можливість зосереджувати свої зусилля на таких основних завданнях, як фішинг, розсилання спаму, зловмисні програми з вимогою викупу, інші види шахрайства та зловживань. Storm-1152 й аналогічні групи допомагають десяткам кіберзлочинців ефективніше здійснювати свою зловмисну діяльність.
Аналізу загроз Microsoft вдалося виявити кілька груп, які займаються розповсюдженням зловмисних програм із вимогою викупу, крадіжкою даних і вимаганням та використовують для цього облікові записи Storm-1152. Наприклад, група Octo Tempest, також відома як Scattered Spider, отримала підроблені облікові записи Microsoft у Storm-1152. Octo Tempest – це група кіберзлочинців із фінансовою мотивацією, яка використовує масові кампанії соціотехніки, щоб порушувати безпеку організацій у всьому світі та вимагати в них кошти. Корпорація Майкрософт продовжує відстежувати багатьох інших зловмисників (зокрема, Storm-0252 і Storm-0455), які займаються розповсюдженням зловмисних програм із вимогою викупу та вимаганням і придбали підроблені облікові записи в Storm-1152 для розширення своїх атак.
У четвер 7 грудня корпорація Майкрософт отримала розпорядження суду Південного округу Нью-Йорка на вилучення розташованої в США інфраструктури та відключення веб-сайтів, які використовуються групою Storm-1152 для заподіяння шкоди клієнтам корпорації Майкрософт. Наша справа насамперед стосується підроблених облікових записів Microsoft, однак на цих веб-сайтах також продавалися служби для обходу механізмів безпеки на інших відомих технологічних платформах. Таким чином, сьогоднішній судовий позов має ширший вплив і допоможе не лише клієнтам корпорації Майкрософт, але й іншим користувачам. Зокрема, підрозділ корпорації Майкрософт із боротьби з кіберзлочинністю усунув указані нижче ресурси.
- Hotmailbox.me – веб-сайт, на якому продаються підроблені облікові записи Microsoft Outlook.
- 1stCAPTCHA, AnyCAPTCHA та NoneCAPTCHA – веб-сайти, що пропонують інструменти та інфраструктуру, а також платну службу для обходу захисного механізму CAPTCHA, який використовується для підтвердження використання й створення облікових записів реальними людьми. На цих сайтах продавались інструменти для обходу перевірки ідентичності на інших технологічних платформах.
- Сайти соцмереж, які активно використовувалися для реклами цих послуг.
Зображення незаконних веб-сайтів групи Storm-1152.
Корпорація Майкрософт прагне надавати безпечні цифрові можливості всім користувачам і організаціям у всьому світі. Ми тісно співпрацюємо з Arkose Labs, щоб розгорнути захисне рішення CAPTCHA нового покоління. Це рішення вимагає від кожного потенційного користувача, який хоче відкрити обліковий запис Microsoft, довести, що він людина (а не бот), і підтвердити цей факт, виконавши різні типи завдань.
За словами засновника й генерального директора Arkose Labs Кевіна Госшалка: "Storm-1152 – серйозний противник. Ця група створена з єдиною метою отримувати гроші, надаючи зловмисникам можливість здійснювати складні атаки. Відмінною рисою цієї групи є те, що їм вдалося вести діяльність за типом "кіберзлочин як послуга" відкрито, а не в "тіньовому секторі" Інтернету. Група Storm-1152 працювала як звичайна інтернет-компанія, яка не лише проводила навчання з використання своїх інструментів, а й надавала повну технічну підтримку. Насправді ж група Storm-1152 використовувалася як відкритий шлюз для серйозного шахрайства".
Дії групи Storm-1152 не лише порушують умови обслуговування корпорації Майкрософт, продаючи підроблені облікові записи, але й цілеспрямовано шкодять клієнтам Arkose Labs і обманюють жертв, коли зловмисники видають себе за законних користувачів, щоб обійти заходи безпеки.
Знімок екрана: вилучення домену, ініційоване корпорацією Майкрософт через спробу веб-сайту продати отримані шахрайським способом облікові записи Microsoft
Наш аналіз діяльності групи Storm-1152 охоплював виявлення, аналіз, телеметрію, таємні пробні покупки та зворотну розробку. Ці дії дали нам можливість виявити зловмисну інфраструктуру, розташовану в США. Аналіз загроз Microsoft і підрозділ Arkose Cyber Threat Intelligence Research (ACTIR) надали додаткові дані й аналітику для підтримки судової справи.
У рамках розслідування нам вдалося підтвердити особи провідних учасників групи Storm-1152: Дуонг Дінь Ту, Лінь Ван Нгуєн (або Нгуєн Ван Лінь) і Тай Ван Нгуєн. Вони перебувають у В’єтнамі. Нам стало відомо, що ці особи писали код для незаконних веб-сайтів і керували ними, публікували докладні покрокові відеоінструкції з використання їхніх продуктів, а також надавали послуги чату користувачам своїх шахрайських послуг.
Після цього корпорація Майкрософт передала матеріали для відкриття судової справи в правоохоронні органи США. Ми вдячні за партнерство з правоохоронними органами, які можуть притягнути до відповідальності тих, хто хоче завдати шкоди нашим клієнтам.
YouTube-канал Дуонга Дінь Ту з відеоінструкціями з обходу захисних механізмів.
Сьогоднішній судовий позов є ще одним кроком у стратегії корпорації Майкрософт, спрямованій на боротьбу із ширшою екосистемою кіберзлочинців і усунення інструментів, які використовують кіберзлочинці для атак. Він продовжує наші дії, які охоплюють успішне застосування правових методів для протидії зловмисним програмам і операціям державного масштабу. Крім того, ми налагодили партнерські відносини з іншими організаціями в галузі, щоб розширити обмін інформацією про шахрайство й удосконалити наші алгоритми штучного інтелекту та машинного навчання, які швидко виявляють підроблені облікові записи та повідомляють про них.
Як зазначалося раніше, зупинити кіберзлочинність за один день неможливо. Боротьба з нею вимагає наполегливості та постійної пильності, щоб блокувати нову зловмисну інфраструктуру. Сьогоднішній судовий позов вплине на діяльність Storm-1152, однак варто очікувати, що інші зловмисники змінять свої методи. Щоб завдати значних збитків кіберзлочинності, потрібна постійна співпраця з державними організаціями та компаніями приватного сектору, як-от поточна співпраця з компанією Arkose Labs і правоохоронними органами США.
Підпишіться на Microsoft