Trace Id is missing

Kraftig handling mod svindel: Forstyrrelse af Storm-1152

Del
En farverig matrix med cirkler med forskellige ikoner.

Oversigt

I marts 2023 oplevede en stor Microsoft-kunde en række cyberangreb med spam, der medførte nedetid i kundens system.

Årsagen? En bølge af falske Microsoft Outlook- og Hotmail-konti søgte at drage fordel af kundens tjenester, der blev leveret som gratis prøver til mulige fremtidige brugere, selvom disse falske konti ikke havde nogen intentioner om nogensinde at betale for disse tjenester. Som følge heraf blokerede kunden alle nye kontotilmeldinger fra Microsoft Outlook- og Hotmail-adresser.

Det, der i virkeligheden stod bag dette angreb, var en større svindelvirksomhed med base i Vietnam – en gruppe, som Microsoft kalder Storm-1152.

Storm-1152 drev ulovlige websteder og sider på sociale medier, hvor der blev solgt falske Microsoft-konti og værktøjer til at omgå software til identitetsbekræftelse på tværs af velkendte teknologiplatforme. Tjenesterne fra Storm-1152 fungerer som en gateway for cyberkriminalitet ved at reducere den tid og den mængde kræfter, det kræver for kriminelle at udføre en lang række kriminelle og krænkende handlinger online. I alt har gruppen oprettet ca. 750 millioner falske Microsoft-konti til salg, hvilket har indbragt gruppen millioner af dollars i ulovlige indtægter og kostet virksomheder endnu mere i forbindelse med bekæmpelse af deres kriminelle aktiviteter.

Det viser sig, at flere grupper brugte Storm-1152 til at engagere sig i ransomware, datatyveri og afpresning, herunder​ Octo Tempest, Storm-0252, Storm-0455 og andre. Deres forretning med kontosalg gjorde dem til en af de største udbydere af cyberkriminalitet som en tjeneste online.

Microsoft har sporet stigningen i denne ondsindede aktivitet siden 2022 og øget brugen af algoritmer til maskinel indlæring til at forebygge og registrere observerede mønstre for oprettelse af disse svigagtige konti. Men foråret 2023 markerede et vendepunkt på grund af den voksende misbrug af Microsofts og partneres platforme. Der var brug for mere aggressiv handling, og et tværfunktionelt team på tværs af Microsoft og vores partner, Arkose Labs, blev oprettet.

Umiddelbart efter denne handling observerede vi omtrent 60 % mindre tilmeldingstrafik. Denne reduktion matcher de 60 % eller flere af tilmeldingerne, som vores algoritmer eller partnere senere identificerede som misbrugskonti, og som vi efterfølgende suspenderede fra Microsoft-tjenester. 

Denne koordinerede indsats resulterede i, at Microsofts Digital Crime Unit (DCU, enhed for digital kriminalitet) togdet første juridiske skridt i december 2023 for at beslaglægge og nedlægge de websteder, som Storm-1152 brugte til at sælge sine tjenester. Umiddelbart efter denne handling observerede vi omtrent 60 % mindre tilmeldingstrafik. Denne reduktion matcher de 60 % eller flere af tilmeldingerne, som vores algoritmer eller partnere senere identificerede som misbrugskonti, og som vi efterfølgende suspenderede fra Microsoft-tjenester. I juli 2023 indgav vi et andet civilt søgsmål for at forstyrre ny infrastruktur, som gruppen havde forsøgt at konfigurere efter vores søgsmål fra december.

Denne rapport om fremvoksende trusler går bag kulisserne for, hvordan handlingen forløb, og den fremhæver vigtigheden af at samarbejde på tværs af branchen for at jagte cybertrusler. Sagen er et eksempel på, hvordan branchen kan bruge juridiske kanaler til at hjælpe med at afskrække andre grupper og beskytte enkeltpersoner. Den taler også om vigtigheden af fortsatte forstyrrelser, og hvordan juridiske handlinger stadig er en effektiv metode mod cyberkriminelle, selv når de skifter taktikker. Når alt kommer til alt, er ingen operation endelig.

Opdagelsen og identifikationen af Storm-1152

I februar 2023 observerede Matthew Mesa, Senior Security Researcher hos Microsofts Threat Intelligence Center (MSTIC) et voksende mønster, hvor Microsoft Outlook-konti blev brugt i massephishingkampagner. I sin rolle analyserer Mesa mailkampagner og ser efter mistænkelig aktivitet. Eftersom han fortsat så en stigning i brugen af svindelkonti, spurgte han sig selv: "kan alle disse konti have relation til hinanden?"

Han oprettede med det samme en ny trusselsaktørprofil, Storm-1152, og begyndte at spore dens aktivitet og viderebragte sine resultater til Microsofts Identitet-team. Shinesa Cambric, Principal Product Manager for Microsofts Anti-Abuse and Fraud Defense Team, havde også sporet denne ondsindede aktivitet og havde bemærket en stigning i automatiserede konti (botter), der forsøgte at komme gennem de CAPTCHA-udfordringer, der bruges til at beskytte tilmeldingsprocesser for Microsofts tjenester til forbrugere.​

"Mit team fokuserer både på vores forbrugeroplevelse og vores oplevelse for virksomheder, hvilket betyder, at vi hver dag beskytter milliarder af konti mod svindel og misbrug", forklarer Cambric. "Vores rolle er at forstå trusselsaktørens metodologier, så vi kan omgå angreb og forhindre adgang til vores systemer. Vi tænker altid på forebyggelse – på hvordan vi kan stoppe ondsindede aktører ved hoveddøren."

Det, der fangede hendes opmærksomhed, var det stigende niveau af svindel relateret til aktiviteten. Da flere parter – Microsoft-partnere og dele af vores forsyningskæde – tog kontakt for at rapportere den skade, der skyldes disse bot-oprettede Microsoft-konti, gik Cambric i aktion.

Sammen med udbyderen af cybersikkerhed og bot-håndtering, Arkose Labs, arbejdede Cambrics team på at identificere og deaktivere gruppens svigagtige konti, og hun delte detaljer om deres arbejde med kollegaer inden for oplysninger om trusler i Microsofts MSTIC og Arkose Cyber Threat Intelligence Research-enheden (ACTIR).

"Vores rolle er at forstå trusselsaktørens metodologier, så vi kan omgå angreb og forhindre adgang til vores systemer. Vi tænker altid på forebyggelse – på hvordan vi kan stoppe ondsindede aktører ved hoveddøren." 
Shinesa Cambric 
Principal Product Manager, Anti-Abuse and Fraud Defense Team, Microsoft 

"Til at starte med var vores rolle at beskytte Microsoft mod oprettelse af svigagtige konti", forklarer Arkose Labs' Chief Customer Officer, Patrice Boffa, "men da Storm-1152 blev identificeret som en gruppe, begyndte vi også at indhente en masse oplysninger om trusler".

Forståelse af Storm-1152

Som en finansielt motiveret gruppe under udvikling skilte Storm-1152 sig ud ved at være overraskende velorganiseret og professionel med sine cyberkriminalitet som en tjeneste-tilbud (CaaS). Ved at køre som var det en legitim virksomhed drev Storm-1152 sin ulovlige CAPTCHA-løsningstjeneste ved højlys dag.

"Hvis du ikke var klar over, at dette var en ondsindet organisation, kunne du sammenligne den med enhver anden SaaS-virksomhed", 
Patrice Boffa
Chief Customer Officer, Arkose Labs

"Hvis du ikke var klar over, at dette var en ondsindet organisation, kunne du sammenligne den med enhver anden SaaS-virksomhed", siger Boffa, og tilføjer, at AnyCAPTCHA.com fra Storm-1152 havde et websted, der rettede sig mod offentligheden og accepterede betalinger med kryptovaluta via PayPal og endda tilbød en supportkanal.

Denne tjeneste brugte bots til at høste CAPTCHA-tokens i massevis, som blev solgt kunder, der derefter brugte disse tokens til uretmæssige formål (f.eks. masseoprettelse af svigagtige Microsoft-konti til senere brug i cyberangreb), før de udløb. Forsøgene på at konfigurere svigagtige konti fandt sted så hurtigt og effektivt, at Arkose Labs-teamet konkluderede, at gruppen brugte automatiseret teknologi til maskinel indlæring. 

"Når vi sammenlignede hastigheden for deres tilpasning til vores afhjælpningshandlinger, gik det op for os, at mange af deres angreb var baseret på kunstig intelligens", sagde Boffa. "Sammenlignet med andre fjender, vi har set, brugte Storm-1152 kunstig intelligens på innovative måder". Teams fra Arkose Labs og Microsoft kunne observere en ændring i forretningstaktik som en metode til tilpasning til øgede registrerings- og forebyggelsesbestræbelser.

Oprindeligt fokuserede Storm-1152 på at tilbyde tjenester, som kriminelle kunne bruge til at omgå sikkerhedsforsvar for andre teknologivirksomheder, hvor ​Microsoft​ var det største offer. Storm-1152 tilbød tjenester til at omgå​​ forsvar for at oprette svigagtige konti, og derefter tilbød de en ny tjeneste, efter de fornemmede registrering. I stedet for at tilbyde værktøjer til at omgå kontooprettelsesforsvar, skiftede gruppen til at bruge sine egne bot-høstede CAPTCHA-besejrende tokens til at oprette svigagtige Microsoft-konti til videresalg.

"Det, vi observerede med Storm-1152, er typisk", siger Boffa. Hver gang du fanger en trusselsaktør, prøver de noget andet. At være foran dem er en lang jagt".

Opbyggelse af en juridisk sag mod Storm-1152

Da den svigagtige aktivitet nåede et toppunkt i marts 2023 engagerede Cambric og Mesa Microsofts enhed for digitalt forsvar (DCU) for at se, hvad der ellers kunne gøres.

Som Microsofts eksterne håndhævelsesarm jager DCU normalt kun de mest alvorlige eller vedholdende aktører. Den fokuserer på forstyrrelse – forøgelse af forretningsomkostningerne – for hvilken henvisninger om kriminalitet og/eller civile søgsmål er de primære værktøjer.

Sean Farrell, Lead Counsel for Cybercrime Enforcement-teamet i Microsofts DCU, Jason Lyons, Principal Manager of Investigations på DCU Cybercrime Enforcement -teamet hos Microsoft og Senior Cyber Investigator, Maurice Mason, gik sammen om videre efterforskning. De koordinerede med Microsofts eksterne rådgivning om at designe en juridisk strategi og samlede de nødvendige beviser til at indgive et civilt søgsmål, hvor de trak på indsigter fra flere teams på tværs af Microsoft og de oplysninger om trusler, som Arkose Labs indsamlede.

"Der var allerede blev udført meget arbejde, da DCU blev involveret", nævner Lyons. "Identitetsteamet og Arkose Labs havde allerede udført betydeligt arbejde med at identificere og deaktivere konti, og fordi MSTIC kunne forbinde disse svigagtige konti til bestemte niveauer af infrastruktur, mente vi, at dette ville være en god juridisk sag for DCU".

Nogle af faktorerne, der bidrager til dannelsen af en sag, der er værd at forfølge, omfatter at have love, der kan bruges i et civilt søgsmål, have jurisdiktion og virksomhedens villighed til at navngive enkeltpersoner offentligt.

Lyons sammenlignede overvejelsen af disse faktorer med en prioriteringsproces, hvor DCU undersøgte fakta og oplysninger for at hjælpe med at afgøre, om det hele udgjorde en god sag. "Baseret på det, vi gør, spørger vi om, hvorvidt vi vil bruge vores tid eller energi på at skride til handling", siger han. "Vil effekten være de ressourcer værd, som vi skal bruge på det?" Svaret i dette tilfælde var ja.

Mason fik til opgave at arbejde med tildelingen af Storm-1152's cyberkriminalitet som en tjeneste-aktiviteter. "Min rolle var at spore, hvordan Storm-1152 solgte disse svigagtige konti til andre trusselsaktørgrupper og identificere enkeltpersonerne bag Storm-1152", forklarer Mason.

Ved deres efterforskningsarbejde, som inkluderede en dybdegående gennemgang af sider på sociale medier og betalingsidentifikatorer, kunne Microsoft og Arkose Labs identificere enkeltpersonerne bag Storm-1152 – Duong Dinh Tu, Linh Van Nguyễn (også kendt som Nguyễn Van Linh) og Tai Van Nguyen.

Deres resultater viser, at disse personer drev og skrev koden til de ulovlige websteder, offentliggjorde detaljerede trinvise instruktioner om, hvordan man bruger deres produkter via videovejledninger og leverede chattjenester for at hjælpe dem, der brugte deres bedrageriske tjenester. Der blev fundet yderligere forbindelser til gruppens tekniske infrastruktur, som teamet kunne identificere til amerikanskbaserede hosts.

"En af grundene til, at vi forfølger disse handlinger i DCU, er at aflede påvirkningen fra disse cyberkriminelle. Vi gør dette ved at indgive søgsmål og give henvisninger om kriminalitet, der fører til arrestationer og retsforfølgelse".
Sean Farrell 
Lead Counsel, Cybercrime Enforcement Team; Microsoft

Farrell beskriver beslutningen om at fortsætte med denne sag og siger: "Her er vi heldige takket været det store arbejde udført af disse teams, som har identificeret de aktører, som havde konfigureret infrastrukturen og de kriminelle tjenester.

En af grundene til, at vi forfølger disse handlinger i DCU, er for at aflede påvirkningen fra disse cyberkriminelle. Vi gør dette ved at indgive søgsmål og give henvisninger om kriminalitet, der fører til arrestationer og retsforfølgelse. Jeg mener, at det sender en stærk besked, når du kan identificere aktører og offentligt identificere dem i juridiske erklæringer i USA."​​

Storm-1152 viser sig igen og et andet juridisk søgsmål​

Mens teamet så et omgående fald i infrastruktur efter forstyrrelsen i december 2023, genopstod Storm-1152 ved at lancere et nyt websted ved navn RockCAPTCHA og nye sådan gør du-videoer for at hjælpe deres kunder. RockCAPTCHA målrettede sig mod Microsoft ved at tilbyde tjenester, der var designet til at forsøge at besejre CAPTCHA-sikkerhedsforanstaltningerne fra Arkose Labs. Aktionen i juli gjorde Microsoft i stand til at tage kontrol over dette websted og tildele aktørerne endnu et slag.

Arkose Cyber Threat Intelligence Research-enheden (ACTIR) så også nærmere på, hvordan Storm-1152 forsøgte at genopbygge deres tjenester. De observerede, at gruppen brugte mere sofistikerede taktikker, herunder ved at øge deres anvendelse kunstig intelligens (AI) til at sløre deres aktivitet og undgå registrering. Denne genopblussen er en indikator for de forandringer, der finder sted i trusselslandskabet, og de demonstrerer de avancere færdigheder hos personer med ondsindede hensigter, der er godt kendt med kunstig intelligens-teknologier. 

Et af de primære områder, hvor Storm-1152 har integreret kunstig intelligens, er i undvigelsesteknikker. Arkose Labs har set gruppen bruge kunstig intelligens til syntetisk at generere nærmest menneskelige underskrifter.

Vikas Shetty er produktleder for Arkose Labs og leder deres enhed for undersøgelse af trusler, ACTIR. "Brugen af modeller med kunstig intelligens lader personer med ondsindede hensigter oplære systemer, der frigiver disse nærmest menneskelige underskrifter, som kan bruges i stor skala til angreb", sagde Shetty. "Disse underskrifters kompleksitet og alsidighed gør det svært for almindelige registreringsmetoder at følge med".

Derudover har Arkose Labs observeret, at Storm-1152 forsøger at rekruttere og ansætte teknikere inden for kunstig intelligens, herunder kandidatstuderende, PhD-kandidater og endda professorer i lande som Vietnam og Kina.

"Disse enkeltpersoner får betaling for at udvikle avancerede modeller med kunstig intelligens, der kan omgå sofistikerede sikkerhedsforanstaltninger. Ekspertisen fra disse teknikere inden for kunstig intelligens sikrer, at modellerne ikke kun er effektive, men at de også kan tilpasses sikkerhedsprotokoller, der udvikler sig", sagde Shetty.

Nøglen til at meningsfuld forstyrrelse af cyberkriminelle handlinger er at forblive vedholdende, foruden at holde styr på, hvordan cyberkriminelle opererer og bruger nye teknologier.

"Vi må fortsætte med at være vedholdende og foretage handlinger, der gør det sværere for kriminelle at tjene penge", sagde Farrell. "Derfor har vi indgivet et andet søgsmål for at tage kontrol med dette nye domæne. Vi har brug for at sende en besked om, at vi ikke vil tolerere aktivitet, der søger at skade vores kunder og enkeltpersoner online".

Erfaringer og fremtidige indvirkninger

Farrell reflekterer over resultatet af Storm-1152-undersøgelsen og -forstyrrelsen og bemærker, at sagen er vigtig, ikke kun på grund af dens virkning for os og de andre virksomheder, den har påvirket, men på grund af Microsofts bestræbelser på at skalere effekten af disse handlinger, som er en del det generelle økosystem for cyberkriminalitet som en tjeneste.

En stærk besked til offentligheden

"Beviset på, at vi kunne anvende de juridiske håndtag, som vi har brugt så effektivt mod malwareangreb og nationalstatsangreb, har ført til en betydelig reduktion eller afhjælpning af aktørens aktivitet, som er faldet til næsten nul i nogen tid, efter vi indgav søgsmålet", siger Farrell. "Jeg tror, at vi fra dette har set, at du kan have rigtig afskrækkelse, at den besked, offentligheden opfatter herfra, er vigtig – ikke blot for indvirkningen, men for onlinecommunity'ets fælles bedste".

Nye adgangsvektorer i identitet

En anden vigtig observation har været et generelt skifte fra, at trusselsaktører søger at kompromittere slutpunkter, men i stedet går efter identiteter.  Vi ser ved de fleste ransomwareangreb, at trusselsaktører gør brug af stjålne eller kompromitterede identiteter som deres indledende angrebsvektor.
"Denne tendens viser, hvordan identitet tager over som den indledende adgangsvektor for kommende hændelser", siger Mason. "CISO'er ønsker måske at tage et mere alvorligt standpunkt for identitet, når de modellerer for deres organisationer – at fokusere mere på identitetssiden først og derefter gå til slutpunkter".

Fortsat innovation er afgørende

Den nye fremkomst af Storm-1152 og deres strategier med kunstig intelligens understreger cybertruslers forandringsprægede natur. Deres sofistikerede brug af kunstig intelligens til både undvigelse og problemløsning udgør betydelige udfordringer for traditionelle sikkerhedsforanstaltninger. Organisationer skal tilpasse ved at indarbejde registrerings- og reduktionsteknikker drevet af kunstig intelligens for at være på forkant med disse trusler.
"Sagen med Storm-1152 fremhæver det kritiske behov for fortsat innovation inden for cybersikkerhed for at modvirke de sofistikerede taktikker, der anvendes af personer med ondsindede hensigter, der er skarpe på kunstig intelligens", siger Shetty. "Eftersom disse grupper har fortsat med at udvikle sig, sådan skal de forsvarsmekanismer, der er designet til at beskytte mod dem, også gøre det".

Vi vil fortsat møde nye sikkerhedsudfordringer i den kommende tid, men vi er optimistiske med hensyn til det, vi har lært fra denne aktion. Som et medlem af community'et af forsvarere ved vi, at vi arbejder bedre sammen i det fælles bedstes tjeneste, og at det fortsatte samarbejde mellem den offentlige og den private sektor forbliver afgørende, når vi står over for cyberkriminalitet.

Farrell siger: "Samarbejdet på tværs af teams i denne aktion – kombinationen af bestræbelserne på oplysninger om trusler, identitetsbeskyttelse, undersøgelse, tilskrivning, juridisk handling og eksterne partnerskaber – er en model for, hvordan vi skal operere".

Relaterede artikler

Forstyrrelse af gatewaytjenester til cyberkriminalitet

Microsoft tager, med support om oplysninger om trusler fra Arkose Labs, tekniske og juridiske skridt til at forstyrrelse den største sælger og skaber af falske Microsoft-konti, en gruppe, vi kalder Storm-1152. Vi holder øje med, lægger mærke til det og vil handle for at beskytte vores kunder.
Få mere at vide

Microsoft, Amazon og international retshåndhævelse går sammen om at bekæmpe svindel med teknisk support

Se, hvordan Microsoft og Amazon for første gang nogensinde gik sammen om at nedlægge ulovlige callcentre for teknisk support i hele Indien.
Få mere at vide

Få indblik i kampen mod hackere, der forstyrrede hospitaler og bragte liv i fare

Gå bag kulisserne i en fælles operation mellem Microsoft, softwareproducenten Fortra og Health-ISAC for at forstyrre knækkede Cobalt Strike-servere og gøre det sværere for cyberkriminelle at operere.
Få mere at vide

Følg Microsoft Security