Trace Id is missing
Přeskočit na hlavní obsah
Security Insider

Odvážná akce proti podvodu: Narušení činnosti skupiny Storm-1152

Sdílení
Barevná řada kruhů s různými ikonami.

Přehled

V březnu 2023 došlo u významného zákazníka společnosti Microsoft k sérii spamových kybernetických útoků, které způsobily výpadky systému zákazníka.

Co bylo příčinou? Příval podvodně vytvořených účtů služeb Microsoft Outlook a Hotmail, které se snažily využívat výhody služeb zákazníkům poskytovaných potenciálním uživatelům jako zkušební verze, přestože tyto falešné účty neměly v úmyslu za tyto služby nikdy platit. V důsledku toho zákazník zablokoval všechny nové registrace účtů z adres služeb Microsoft Outlook a Hotmail.

Ve skutečnosti za tímto útokem stálo větší podvodné uskupení se sídlem ve Vietnamu – skupina, kterou Microsoft označuje jako Storm-1152.

Skupina Storm-1152 provozovala nelegální weby a stránky na sociálních sítích a prodávala podvodné účty Microsoft a nástroje pro obcházení softwaru pro ověřování totožnosti na známých technologických platformách. Služby skupiny Storm-1152 fungují jako brána pro kybernetické trestné činy tím, že snižují čas a úsilí potřebné pro páchání řady trestných činů a zneužívání na internetu a usnadňují práci pachatelům trestné činnosti. Celkem tato skupina vytvořila přibližně 750 milionů podvodných účtů Microsoftu určených k prodeji, což jí vyneslo miliony dolarů na nelegálních příjmech a společnostem to způsobilo další ztráty v souvislosti s nutností vynakládat prostředky na boj proti jejich trestné činnosti.

Ukázalo se, že účty skupiny Storm-1152 používalo více skupin, které se zabývaly ransomwarem, krádežemi dat a vydíráním. Patřily mezi ně skupiny​ Octo Tempest, Storm-0252, Storm-0455 a další. Díky prodeji účtů se tato skupina stala jedním z největších online poskytovatelů kybernetických trestných činů jako služby.

Společnost Microsoft sledovala nárůst této škodlivé činnosti od roku 2022 a stále častěji používala algoritmy strojového učení k prevenci a odhalování pozorovaných vzorců vytváření těchto podvodných účtů. Na jaře 2023 však byl dosažen bod zlomu v důsledku rostoucího zneužívání platforem společnosti Microsoft a partnerů. Bylo nutné přijmout razantnější opatření. Vytvořili jsme proto tým zahrnující Microsoft a našeho partnera Arkose Labs.

Bezprostředně po této akci jsme zaznamenali přibližně 60% pokles počtu registrací uživatelů. Tento pokles přesně odpovídá 60 % (či více) registrací, které naše algoritmy nebo partneři později označili za zneužívající a které jsme následně pozastavili, aby nemohly využívat služby společnosti Microsoft. 

Výsledkem tohoto koordinovaného úsilí bylo, že oddělení Digital Crimes Unit (DCU) společnosti Microsoft podniklo v prosinci 2023 prvníprávní kroky k zajištění a vypnutí webů, které skupina Storm-1152 používala k prodeji svých služeb. Bezprostředně po této akci jsme zaznamenali přibližně 60% pokles počtu registrací uživatelů. Tento pokles přesně odpovídá 60 % (či více) registrací, které naše algoritmy nebo partneři později označili za zneužívající a které jsme následně pozastavili, aby nemohly využívat služby společnosti Microsoft. 23. července jsme podali druhou občanskoprávní žalobu s cílem narušit novou infrastrukturu, kterou se tato skupina pokusila vytvořit po naší prosincové žalobě.

Tato zpráva o vznikajících hrozbách přibližuje zákulisí této akce a zdůrazňuje význam spolupráce v našem odvětví při potírání kybernetických hrozeb. Tento případ je příkladem toho, jak může naše odvětví využívat právní cesty, pomáhat tak odradit jiné skupiny a zajistit bezpečnost jednotlivců v online prostředí. Vypovídá také o důležitosti neustálého narušování činnosti škodlivých aktérů a o tom, že právní kroky zůstávají účinnou metodou proti kyberzločincům, i když mění svou taktiku. Nakonec platí, že žádná operace není jednorázová.

Objevení a identifikace skupiny Storm-1152

V únoru 2023 zaznamenal Matthew Mesa, Senior Security Researcher v centru Microsoft Threat Intelligence Center (MSTIC), rostoucí výskyt účtů služby Microsoft Outlook používaných v hromadných phishingových kampaních. Mesa v rámci své role analyzuje e-mailové kampaně a hledá podezřelé aktivity. Protože nadále pozoroval nárůst počtu podvodných účtů, položil si otázku: „Můžou být všechny tyto účty vzájemně propojeny?“

Okamžitě vytvořil nový profil aktéra hrozeb s názvem Storm-1152, začal sledovat jeho aktivitu a svá zjištění oznámil týmu společnosti Microsoft pro identity. Shinesa Cambric, hlavní produktová manažerka týmu Microsoftu pro ochranu před zneužíváním a podvody, také sledovala tuto škodlivou aktivitu a zaznamenala nárůst počtu automatizovaných účtů (botů), které se pokoušejí překonat výzvy CAPTCHA používané k ochraně procesu registrace do uživatelských služeb společnosti Microsoft.​

„Můj tým se zaměřuje na prostředí pro běžné uživatele i pro podnikovou sféru, což znamená, že každý den chráníme miliardy účtů před podvody a zneužitím,“ vysvětluje Shinesa Cambric. „Naším úkolem je porozumět metodikám aktérů hrozeb, abychom mohli útoky obcházet a zabránit přístupu do našich systémů. Stále přemýšlíme o prevenci – o tom, jak můžeme aktéry se zlými úmysly zastavit hned na vstupu.“

Její pozornost upoutala rostoucí míra podvodů spojených s touto činností. Když nám pak více stran – partneři Microsoftu i části našeho dodavatelského řetězce – oznamovalo škody způsobené těmito účty Microsoftu vytvořenými boty, začala Shinesa Cambric jednat.

Společně s poskytovatelem kybernetické obrany a správy botů, společností Arkose Labs, pracovala Shinesa Cambric na identifikaci a zakázání podvodných účtů této skupiny a sdílela podrobnosti o své práci s kolegy z oddělení MSTIC společnosti Microsoft a z oddělení Arkose Cyber Threat Intelligence Research (ACTIR) (ACTIR), kteří se zabývají analýzou hrozeb.

„Naším úkolem je porozumět metodikám aktérů hrozeb, abychom mohli útoky obcházet a zabránit přístupu do našich systémů. Stále přemýšlíme o prevenci – o tom, jak můžeme aktéry se zlými úmysly zastavit hned na vstupu.“ 
Shinesa Cambric 
hlavní produktová manažerka týmu Microsoftu pro ochranu před zneužíváním a podvody 

„Zpočátku bylo naší úlohou chránit Microsoft před vytvářením škodlivých účtů,“ vysvětluje Patrice Boffa, ředitel pro zákazníky společnosti Arkose Labs, „ale jakmile byla skupina Storm-1152 identifikována, začali jsme také shromažďovat mnoho analytických informací o hrozbách“.

Co dělá skupina Storm-1152

Jako rozvíjející se finančně motivovaná skupina se skupina Storm-1152 vyznačovala neobvykle dobrou organizací a profesionalitou své nabídky kybernetických trestných činů jako služby (CaaS). Skupina Storm-1152 fungovala jako legitimní firma a provozovala svou nelegální službu pro řešení ochrany CAPTCHA zcela otevřeně.

„Kdybyste nevěděli, že se jedná o škodlivou organizaci, mohli byste ji srovnávat s jakoukoli jinou společností poskytující služby SaaS.“ 
Patrice Boffa
Ředitel pro zákazníky, Arkose Labs

„Kdybyste nevěděli, že se jedná o škodlivou organizaci, mohli byste ji srovnávat s jakoukoli jinou společností poskytující služby SaaS,“ říká Patrice Boffa a dodává, že služba AnyCAPTCHA.com skupiny Storm-1152 měla veřejně přístupný web, přijímala platby v kryptoměnách prostřednictvím služby PayPal a dokonce nabízela kanál podpory.

Tato služba používala boty k hromadnému získávání tokenů CAPTCHA. Ty prodávala zákazníkům, kteří je pak před vypršením jejich platnosti používali k nevhodným účelům (například k hromadnému vytváření podvodných účtů Microsoftu pro pozdější použití při kybernetických útocích). Pokusy o zakládání podvodných účtů probíhaly tak rychle a efektivně, že tým společnosti Arkose Labs dospěl k závěru, že skupina používá automatizovanou technologii strojového učení. 

„Když jsme zjistili, jak rychle se přizpůsobují našim snahám o zmírnění, uvědomili jsme si, že mnoho jejich útoků je založeno na AI,“ říká Patrice Boffa. „V porovnání s jinými nežádoucími aktéry, se kterými jsme se setkali, využívala skupina Storm-1152 AI inovativním způsobem.“ Týmy společností Arkose Labs a Microsoft dokázaly pozorovat změnu obchodní taktiky jako způsob, jak se přizpůsobit zvýšenému úsilí o detekci a prevenci.

Zpočátku se skupina Storm-1152 zaměřovala na poskytování služeb pro zločince umožňujících obejít bezpečnostní ochranu jiných technologických společností, přičemž​Microsoft​ byl jejich největší obětí. Skupina Storm-1152 nabízela služby umožňujícíobejít​​ ochranu proti vytváření podvodných účtů a poté, co zjistila, že je odhalena, nabídla novou službu. Místo toho, aby poskytovala nástroje k obejití ochrany proti vytváření účtů, použila k vytvoření podvodných účtů Microsoft určených k dalšímu prodeji vlastní tokeny CAPTCHA, které získala pomocí botů.

„To, co jsme pozorovali u skupiny Storm-1152, je typické,“ říká Patrice Boffa. Pokaždé, když chytíte některého z aktérů hrozeb, zkusí něco jiného. Udržet si před nimi náskok je hra na kočku a myš.“

Vytvoření právního případu proti skupině Storm-1152

Když tato podvodná činnost v březnu 2023 dosáhla kritické úrovně, zapojili Shinesa Cambric a Patrice Mesa oddělení Digital Crimes Unit (DCU) společnosti Microsoft, aby zjistili, co dalšího by se ještě dalo udělat.

DCU, coby tým Microsoftu pro externí vynucovací opatření, obvykle stíhá pouze nejzávažnější nebo nejvytrvalejší aktéry. Zaměřuje se na narušení jejich činnosti – zvýšení nákladů na jejich podnikání. K tomu slouží především trestní oznámení nebo občanskoprávní žaloby.

Sean Farrell, vedoucí poradce týmu pro potírání kybernetických trestných činů v oddělení DCU společnosti Microsoft, Jason Lyons, hlavní manažer prošetřování v týmu DCU v Microsoftu pro potírání kybernetických trestných činů, a hlavní vyšetřovatel kybernetických trestných činů Maurice Mason se spojili, aby společně pokračovali v dalším vyšetřování. Ve spolupráci s externím právním zástupcem společnosti Microsoft navrhli právní strategii a shromáždili důkazy potřebné k podání občanskoprávní žaloby, přičemž využili poznatky od více týmů v Microsoftu a informace analýzy hrozeb, které shromažďovala společnost Arkose Labs.

„V době, kdy se zapojilo oddělení DCU, už bylo hodně práce hotové,“ vzpomíná Jason Lyons. „Lidé z týmu pro identity a ze společnost Arkose Labs už odvedli významný kus práce při identifikování a zakazování účtů, a protože centrum MSTIC dokázalo propojit podvodné účty s určitými úrovněmi infrastruktury, mysleli jsme si, že to bude dobrý právní případ pro DCU.“

Mezi faktory přispívající k vytvoření určitého případu, který stojí za to řešit, patří existence zákonů, které lze použít v občanskoprávním řízení, existující jurisdikce a ochota dané firmy veřejně uvádět jména osob.

Lyons přirovnal zvažování těchto faktorů k procesu třídění, kdy oddělení DCU zkoumá fakta a informace, které mu pomáhají určit, jestli vše tvoří dobrý případ. „Na základě naší činnosti se ptáme, jestli chceme věnovat čas a energii tomu, abychom podnikli nějaké kroky,“ říká. „Bude dopad odpovídat prostředkům, které do případu musíme vložit?“ Odpověď byla v tomto případě kladná.

Maurice Mason byl pověřen prací na atribuci aktivit kybernetických trestných činů jako služby u skupiny Storm-1152. „Mým úkolem bylo sledovat, jak skupina Storm-1152 prodávala tyto podvodné účty dalším skupinám aktérů hrozeb, a identifikovat osoby, které za skupinou Storm-1152 stojí,“ vysvětluje Maurice Mason.

Díky vyšetřování, která zahrnovalo podrobnou kontrolu stránek sociálních sítí a identifikátorů plateb, se společnostem Microsoft a Arkose Labs podařilo identifikovat osoby, které stojí za skupinou Storm-1152: Duong Dinh Tu, Linh Van Nguyễn (známý také jako Nguyễn Van Linh) a Tai Van Nguyen.

Podle jejich zjištění tyto osoby provozovaly a psaly kód pro nelegální weby, zveřejňovaly podrobné videonávody s postupy používání jejich produktů a poskytovaly chatové služby na pomoc těm, kteří jejich podvodné služby využívali. Pak byla dále prověřována technická infrastruktura této skupiny, u které se týmu podařilo najít propojení s hostiteli v USA.

„Jedním z důvodů, proč v DCU podnikáme tyto kroky, je zabránit dopadu činnosti těchto kyberzločinců. Dosahujeme toho podáváním žalob nebo podáváním trestních oznámení, která vedou k zatčením a trestním stíháním.“
Sean Farrell 
vedoucí právní poradce, tým pro potírání počítačových trestných činů, Microsoft

Farrel popisuje rozhodnutí pokračovat v případu takto: „Tady jsme měli štěstí díky skvělé práci týmů, které identifikovaly aktéry, kteří vytvořili danou infrastrukturu a kriminální služby.

Jedním z důvodů, proč v DCU podnikáme tyto kroky, je zabránit dopadu činnosti těchto kyberzločinců. Dosahujeme toho podáváním žalob nebo podáváním trestních oznámení, která vedou k zatčením a trestním stíháním. Myslím, že je to velmi silný signál, když jste schopni identifikovat příslušné aktéry a veřejně je označit v soudních spisech ve Spojených státech.“​​

Storm-1152 se znovu objevuje a druhá právní akce​

Zatímco tým zaznamenal okamžitý pokles aktivit infrastruktury po jejich narušení v prosinci 2023, skupina Storm-1152 se objevila znovu a spustila nový web s názvem RockCAPTCHA spolu s novými videi s návody pro zákazníky. Web RockCAPTCHA cílil na společnost Microsoft tím, že nabízel služby speciálně navržené tak, aby se pokusily překonávat bezpečnostní opatření CAPTCHA společnosti Arkose Labs. Červencová akce pak umožnila společnosti Microsoft převzít kontrolu nad tímto webem a zasadit aktérům další úder.

Jednotka Arkose Cyber Threat Intelligence Research unit (ACTIR) se také zaměřila na to, jak se Storm-1152 pokouší přetvořit své služby. Její tým zjistil, že tato skupina používá sofistikovanější taktiky, včetně intenzivnějšího využívání umělé inteligence (AI), aby maskovala svou činnost a vyhnula se odhalení. Tato obnovená aktivita svědčí o změnách, ke kterým dochází v oblasti hrozeb, a ukazuje na pokročilé schopnosti útočníků, kteří se dobře orientují v technologiích AI. 

Jednou z hlavních oblastí, kde skupina Storm-1152 integrovala AI, jsou techniky, jak se vyhnout odhalení. Společnost Arkose Labs zaznamenala, jak tato skupina použila AI k syntetickému generování podpisů podobných lidským.

Vikas Shetty je vedoucím produktového oddělení společnosti Arkose Labs a vede její jednotku ACTIR pro výzkum hrozeb. „Používání modelů umělé inteligence umožňuje útočníkům natrénovat systémy, které vytváří tyto podpisy, které vypadají od skutečných lidí. Ty pak můžou být ve velkém rozsahu použity k útokům,“ řekl Shetty. „Kvůli složitosti a rozmanitosti těchto podpisů mají tradiční detekční metody problémy udržet krok.“

Společnost Arkose Labs navíc zaznamenala, že se skupina Storm-1152 pokouší najímat a zaměstnávat inženýry zabývající se AI, včetně vysokoškolských studentů, doktorandů a dokonce profesorů v zemích, jako je Vietnam a Čína.

„Tito lidé jsou placeni za vývoj pokročilých modelů AI, které dokážou obejít sofistikovaná bezpečnostní opatření. Odborné znalosti těchto inženýrů v oblasti AI zajišťují, že modely jsou nejen účinné, ale lze je také přizpůsobovat vyvíjejícím se protokolům zabezpečení,“ řekl Shetty.

Klíčem k významnému narušení operací kyberzločinců je vytrvalost, stejně jako sledování toho, jak kyberzločinci pracují a využívají nové technologie.

„Musíme být i nadále vytrvalí a podnikat kroky, které zločincům ztíží vydělávání peněz,“ řekl Farrell. „Proto jsme podali druhou žalobu, abychom získali kontrolu nad touto novou doménou. Musíme dát najevo, že nebudeme tolerovat aktivity, které se snaží poškodit naše zákazníky a jednotlivce v online prostředí.“

Získané zkušenosti a budoucí důsledky

Sean Farrell při úvahách o výsledku vyšetřování skupiny Storm-1152 a narušení její činnosti poznamenává, že tento případ je důležitý nejen kvůli jeho dopadu na nás a další postižené společnosti, ale také kvůli snaze společnosti Microsoft pracovat s dopadem těchto operací, které jsou součástí celkového ekosystému kybernetických trestných činů jako služby.

Významný signál pro veřejnost

„Ukázalo se, že právní nástroje, které jsme tak účinně použili na útoky malwaru a operace státních aktérů, vedly k výraznému zmírnění nebo nápravě aktivit tohoto aktéra, které se po podání žaloby na nějakou dobu snížily téměř na nulu,“ říká Sean Farrell. „Myslím, že jsme se přesvědčili o tom, že je možné dosáhnout skutečného odstrašujícího účinku, a že je důležité, jaký vzkaz si z toho veřejnost odnese – nejen kvůli dopadu, ale i pro větší dobro online komunity.“

Nové vektory přístupu v oblasti identity

Dalším důležitým zjištěním je obecný posun aktérů hrozeb od snahy napadat koncové body ke snaze napadat identity.  U většiny útoků ransomwaru se setkáváme s tím, že aktéři hrozeb využívají ukradené nebo napadené identity jako počáteční vektor útoku.
„Tento trend ukazuje, jak identita převezme roli počátečního vektoru přístupu u nadcházejících incidentů,“ říká Maurice Mason. „Ředitelé pro zabezpečení informací se možná budou chtít při vytváření modelů pro jejich organizace vážněji zaměřit na identitu – nejprve se více soustředit na identitu a pak přejít na koncové body.“

Průběžné inovace jsou zásadní

Znovuobjevení skupiny Storm-1152 a jejích strategií založených na AI podtrhuje vývoj kybernetických hrozeb. Její sofistikované využívání AI k obcházení ochrany i řešení problémů představuje pro tradiční bezpečnostní opatření zásadní výzvu. Organizace se musí přizpůsobit a zavést pokročilé techniky detekce a zmírňování hrozeb s podporou AI, aby si udržely náskok před těmito hrozbami.
„Případ skupiny Storm-1152 poukazuje na zásadní potřebu neustálých inovací v oblasti kybernetické bezpečnosti, aby bylo možné čelit sofistikovaným taktikám útočníků využívajících AI,“ říká Shetty. „S tím, jak se tyto skupiny vyvíjejí, musí se vyvíjet i odpovídající obrana proti nim.“

Víme, že v budoucnosti budeme i nadále čelit novým výzvám v oblasti zabezpečení, ale jsme optimističtí ohledně toho, co jsme se při této akci naučili. Jako členové komunity obránců víme, že práce pro dobrou věc se lépe dělá společně a že pokračující spolupráce veřejného a soukromého sektoru je při potírání kybernetických trestných činů nezbytná.

Sean Farrell říká: „Spolupráce mezi týmy při této akci – kombinace úsilí v oblasti analýzy hrozeb hrozbách, ochrany identit, vyšetřování, atribuce, právních kroků a externích partnerství – to vše je modelovým příkladem toho, jak bychom měli pracovat.“

Související články

Úspěchy v boji se službami usnadňujícími kyberkriminalitu

Společnost Microsoft s podporou služeb analýzy hrozeb od společnosti Arkose Labs podniká technické a právní kroky s cílem narušit činnost největšího prodejce a tvůrce podvodných účtů Microsoftu, skupiny známé jako Storm-1152. Jsme bdělí, zaznamenáváme hrozby a budeme podnikat kroky na ochranu našich zákazníků.
Další informace

Microsoft, Amazon a mezinárodní orgány činné v trestním řízení se spojily v boji proti podvodům spojených s technickou podporou

Podívejte se, jak společnosti Microsoft a Amazon vůbec poprvé spojily své síly, aby zlikvidovaly nelegální call centra technické podpory v Indii.
Další informace

Boj proti hackerům, kteří narušili chod nemocnic a ohrozili lidské životy

Podívejte se do zákulisí společné operace společností Microsoft, výrobce softwaru Fortra a Health-ISAC, jejímž cílem je narušit prolomené servery Cobalt Strike a ztížit činnost kyberzločinců.
Další informace

Sledujte zabezpečení od Microsoftu