Trace Id is missing
Μετάβαση στο κύριο περιεχόμενο
Security Insider

Τολμηρή δράση κατά της απάτης: Διατάραξη Storm-1152

Κοινοποίηση
Πολύχρωμη συστοιχία κύκλων με διάφορα εικονίδια.

Επισκόπηση

Τον Μάρτιο του 2023, ένας σημαντικός πελάτης της Microsoft αντιμετώπισε μια σειρά από ανεπιθύμητες επιθέσεις στον κυβερνοχώρο που προκάλεσαν διακοπές στο σύστημα του πελάτη.

Η αιτία; Ένα μπαράζ λογαριασμών Microsoft Outlook και Hotmail που δημιουργήθηκαν δόλια και επεδίωκαν να αποκομίσουν τα οφέλη των υπηρεσιών του πελάτη που παρέχονται ως δοκιμαστικές δοκιμές σε υποψήφιους χρήστες, παρόλο που αυτοί οι ψεύτικοι λογαριασμοί δεν είχαν καμία πρόθεση να πληρώσουν ποτέ για αυτές τις υπηρεσίες. Ως αποτέλεσμα, ο πελάτης απέκλεισε όλες τις εγγραφές νέων λογαριασμών από τις διευθύνσεις Microsoft Outlook και Hotmail.

Αυτό που κρυβόταν στην πραγματικότητα πίσω από αυτή την επίθεση ήταν μια μεγαλύτερη δόλια επιχείρηση με έδρα το Βιετνάμ — μια ομάδα που η Microsoft αποκαλεί Storm-1152.

Το Storm-1152 διαχειριζόταν παράνομες ιστοσελίδες και σελίδες κοινωνικών μέσων, πουλώντας δόλιους λογαριασμούς και εργαλεία της Microsoft για την παράκαμψη λογισμικού επαλήθευσης ταυτότητας σε γνωστές τεχνολογικές πλατφόρμες. Οι υπηρεσίες του Storm-1152 λειτουργούν ως πύλη για το κυβερνοέγκλημα μειώνοντας τον χρόνο και την προσπάθεια που απαιτείται από τους εγκληματίες για να προβούν σε μια σειρά από εγκληματικές και καταχρηστικές συμπεριφορές στο διαδίκτυο. Συνολικά, η ομάδα δημιούργησε προς πώληση περίπου 750 εκατομμύρια δόλιους λογαριασμούς Microsoft, αποφέροντας στην ομάδα εκατομμύρια δολάρια σε παράνομα έσοδα και κοστίζοντας σε εταιρείες ακόμη περισσότερα για την καταπολέμηση της εγκληματικής της δραστηριότητας.

Πολλές ομάδες, όπως αποδεικνύεται, χρησιμοποιούσαν λογαριασμούς Storm-1152 για να συμμετάσχουν σε ransomware, κλοπή δεδομένων και εκβιασμό, συμπεριλαμβανομένων​ των εξής:​ Octo Tempest, Storm-0252, Storm-0455 και άλλων. Η δραστηριότητα πωλήσεων λογαριασμών του το έκανε έναν από τους μεγαλύτερους παρόχους κυβερνοεγκλήματος ως υπηρεσίας στο διαδίκτυο.

Η Microsoft παρακολουθούσε την άνοδο αυτής της κακόβουλης δραστηριότητας από το 2022, αυξάνοντας τη χρήση αλγορίθμων μηχανικής εκμάθησης για την πρόληψη και τον εντοπισμό παρατηρούμενων μοτίβων για τη δημιουργία αυτών των δόλιων λογαριασμών. Ωστόσο, η Άνοιξη του 2023 σηματοδότησε ένα σημείο καμπής λόγω της κλιμακούμενης κακής χρήσης της Microsoft και των πλατφορμών συνεργατών. Απαιτήθηκε πιο επιθετική δράση και δημιουργήθηκε μια διαλειτουργική ομάδα σε όλη τη Microsoft και με τον συνεργάτη μας Arkose Labs.

Αμέσως μετά την ενέργεια, παρατηρήσαμε μείωση κατά 60% περίπου στην κυκλοφορία εγγραφών. Αυτή η μείωση αντιστοιχεί κοντά στο 60% ή στις περισσότερες εγγραφές που οι αλγόριθμοι ή οι συνεργάτες μας αργότερα αναγνώρισαν ως καταχρηστικές και τις οποίες αναστείλαμε στη συνέχεια από τις υπηρεσίες της Microsoft. 

Η συντονισμένη προσπάθεια είχε ως αποτέλεσμα την ανάληψη της Μονάδας Ψηφιακών Εγκλημάτων της Microsoft (DCU)η πρώτηνομική ενέργεια τον Δεκέμβριο του 2023 για την παύση και τον τερματισμό των ιστότοπων που χρησιμοποιούσε το Storm-1152 για την πώληση των υπηρεσιών του. Αμέσως μετά την ενέργεια, παρατηρήσαμε μείωση κατά 60% περίπου στην κυκλοφορία εγγραφών. Αυτή η μείωση αντιστοιχεί κοντά στο 60% ή στις περισσότερες εγγραφές που οι αλγόριθμοι ή οι συνεργάτες μας αργότερα αναγνώρισαν ως καταχρηστικές και τις οποίες αναστείλαμε στη συνέχεια από τις υπηρεσίες της Microsoft. Στις 23 Ιουλίου, καταθέσαμε μια δεύτερη αστική αγωγή για να διαταράξουμε τη νέα υποδομή που είχε προσπαθήσει να δημιουργήσει η ομάδα μετά τη μήνυσή μας τον Δεκέμβριο.

Αυτή η αναφορά αναδυόμενων απειλών παρέχει λεπτομέρειες για τον τρόπο με τον οποίο κατέπεσε η δράση και υπογραμμίζει τη σημασία της συνεργασίας σε όλο τον κλάδο για την αντιμετώπιση των απειλών στον κυβερνοχώρο. Η υπόθεση είναι ένα παράδειγμα του τρόπου με τον οποίο ο κλάδος μπορεί να χρησιμοποιήσει νομικές οδούς για να αποτρέψει άλλες ομάδες και να διατηρήσει τα άτομα ασφαλή στο διαδίκτυο.​ Μιλάει επίσης για τη σημασία των συνεχών διαταραχών και για το πώς οι νομικές ενέργειες παραμένουν μια αποτελεσματική μέθοδος κατά των εγκληματιών του κυβερνοχώρου, ακόμη και όταν αυτοί αλλάζουν την τακτική τους. Στο τέλος της ημέρας, καμία επέμβαση δεν είναι μια και μόνο.

Ο εντοπισμός και η αναγνώριση του Storm-1152

Τον Φεβρουάριο του 2023, ο Matthew Mesa, Ανώτερος Ερευνητής Ασφαλείας στο Κέντρο Πληροφοριών της Microsoft σχετικά με απειλές (MSTIC), παρατήρησε ένα αυξανόμενο μοτίβο λογαριασμών Microsoft Outlook που χρησιμοποιούνται σε μαζικές καμπάνιες ηλεκτρονικού "ψαρέματος". Στον ρόλο του, ο Mesa αναλύει καμπάνιες email και αναζητά ύποπτη δραστηριότητα. Καθώς συνέχιζε να βλέπει μια αύξηση στη χρήση δόλιων λογαριασμών, αναρωτήθηκε: «θα μπορούσαν όλοι αυτοί οι λογαριασμοί να σχετίζονται μεταξύ τους;»

Αμέσως δημιούργησε ένα νέο προφίλ παράγοντα απειλής, το Storm-1152, και άρχισε να παρακολουθεί τη δραστηριότητά του και επισήμανε τα ευρήματά του στην ομάδα αναγνώρισης της Microsoft. Η Shinesa Cambric, Principal Product Manager της Ομάδας προστασίας της Microsoft κατά της κατάχρησης και απάτης είχε επίσης παρακολουθήσει αυτή την κακόβουλη δραστηριότητα και είχε παρατηρήσει μια αύξηση αυτοματοποιημένων λογαριασμών (ρομπότ) που προσπαθούσαν να αντιμετωπίσουν τις προκλήσεις CAPTCHA που χρησιμοποιούνται για την προστασία της διαδικασίας εγγραφής για τις υπηρεσίες καταναλωτών της Microsoft.​

«Η ομάδα μου εστιάζει τόσο στην εμπειρία των καταναλωτών όσο και στην επιχειρηματική μας εμπειρία, πράγμα που σημαίνει ότι προστατεύουμε δισεκατομμύρια λογαριασμούς καθημερινά από απάτη και κατάχρηση», εξηγεί η Cambric. «Ο ρόλος μας είναι να κατανοήσουμε τις μεθοδολογίες των παραγόντων απειλής, ώστε να μπορούμε να παρακάμψουμε τις επιθέσεις και να αποτρέψουμε την πρόσβαση στα συστήματά μας. Σκεφτόμαστε πάντα την πρόληψη - για το πώς μπορούμε να σταματήσουμε τους παράγοντες απειλής στην αρχή».

Αυτό που τράβηξε την προσοχή της ήταν το αυξανόμενο επίπεδο απάτης που σχετίζεται με τη δραστηριότητα. Όταν πολλά μέρη —συνεργάτες της Microsoft καθώς και τμήματα της εφοδιαστικής μας αλυσίδας— προσέγγισαν για να αναφέρουν τη ζημιά που προέκυψε από αυτούς τους λογαριασμούς Microsoft που δημιουργήθηκαν από bot, η Cambric ανέλαβε δράση.

Σε συνεργασία με τον πάροχο ασφάλειας από απειλές στον κυβερνοχώρο και διαχείρισης ρομπότ Arkose Labs, η ομάδα της Cambric εργάστηκε για τον εντοπισμό και την απενεργοποίηση των δόλιων λογαριασμών της ομάδας και μοιράστηκαν λεπτομέρειες της δουλειάς τους με συναδέλφους πληροφοριών απειλών στο MSTIC της Microsoft και στη μονάδα Arkose Cyber Threat Intelligence Research (ACTIR).

«Ο ρόλος μας είναι να κατανοήσουμε τις μεθοδολογίες των παραγόντων απειλής, ώστε να μπορούμε να παρακάμψουμε τις επιθέσεις και να αποτρέψουμε την πρόσβαση στα συστήματά μας. Σκεφτόμαστε πάντα την πρόληψη - για το πώς μπορούμε να σταματήσουμε τους παράγοντες απειλής στην αρχή». 
Shinesa Cambric 
Principal Product Manager, Ομάδα Άμυνας κατά της κατάχρησης και της απάτης, Microsoft 

«Αρχικά, ο ρόλος μας ήταν να προστατεύσουμε τη Microsoft από τη δημιουργία κακόβουλων λογαριασμών», εξηγεί η Patrice Boffa, Chief Customer Officer της Arkose Labs, «Όμως, όταν το Storm-1152 αναγνωρίστηκε ως ομάδα, αρχίσαμε επίσης να συλλέγουμε πολλές πληροφορίες σχετικά με τις απειλές».

Κατανόηση του Storm-1152

Ως ομάδα με οικονομικά κίνητρα υπό ανάπτυξη, το Storm-1152 ξεχώρισε ως ασυνήθιστα καλά οργανωμένο και επαγγελματικό με τις προσφορές του για το κυβερνοέγκλημα ως υπηρεσία (CaaS). Λειτουργώντας ως νόμιμη εταιρεία, το Storm-1152 λειτουργούσε την παράνομη υπηρεσία επίλυσης CAPTCHA απροκάλυπτα.

"Εάν δεν γνωρίζατε ότι πρόκειται για κακόβουλο οργανισμό, θα μπορούσατε να τον συγκρίνετε με οποιαδήποτε άλλη εταιρεία SaaS." 
Patrice Boffa
Chief Customer Officer, Arkose Labs

«Αν δεν γνωρίζατε ότι πρόκειται για κακόβουλο οργανισμό, θα μπορούσατε να τον συγκρίνετε με οποιαδήποτε άλλη εταιρεία SaaS», λέει η Boffa, προσθέτοντας ότι η AnyCAPTCHA.com του Storm-1152 είχε έναν δημόσιο ιστότοπο, δεχόταν πληρωμές σε κρυπτονομίσματα μέσω PayPal, και πρόσφερε ένα κανάλι υποστήριξης.

Αυτή η υπηρεσία χρησιμοποιούσε bot για τη συλλογή κουπονιών CAPTCHA μαζικά, τα οποία πωλήθηκαν σε πελάτες, οι οποίοι στη συνέχεια χρησιμοποιούσαν τα διακριτικά για ακατάλληλους σκοπούς (όπως η μαζική δημιουργία δόλιων λογαριασμών της Microsoft για μετέπειτα χρήση σε κυβερνοεπιθέσεις) προτού λήξουν. Οι προσπάθειες δημιουργίας δόλιων λογαριασμών γίνονταν με τόση ταχύτητα και αποτελεσματικότητα που η ομάδα της Arkose Labs κατέληξε στο συμπέρασμα ότι η ομάδα χρησιμοποιούσε αυτοματοποιημένη τεχνολογία μηχανικής εκμάθησης. 

«Όταν βιώσαμε τον ρυθμό προσαρμογής τους στις προσπάθειες άμβλυνσής μας, συνειδητοποιήσαμε ότι πολλές από τις επιθέσεις τους βασίζονταν στην τεχνητή νοημοσύνη», είπε η Boffa. «Σε σύγκριση με άλλους αντιπάλους που έχουμε δει, το Storm-1152 χρησιμοποίησε την τεχνητή νοημοσύνη με καινοτόμους τρόπους». Οι ομάδες της Arkose Labs και της Microsoft μπόρεσαν να παρατηρήσουν μια αλλαγή στις επιχειρηματικές τακτικές ως τρόπο προσαρμογής στις αυξημένες προσπάθειες εντοπισμού και πρόληψης.

Αρχικά, το Storm-1152 επικεντρώθηκε στην παροχή υπηρεσιών σε εγκληματίες για να παρακάμψουν τις άμυνες ασφαλείας για άλλες εταιρείες τεχνολογίας, με ​τη ​Microsoft​ να είναι το μεγαλύτερο θύμα. Το Storm-1152 προσέφερε υπηρεσίεςπαράκαμψης​​ άμυνας για τη δημιουργία δόλιων λογαριασμών και στη συνέχεια πρόσφερε μια νέα υπηρεσία αφού ανίχνευε τον εντοπισμό. Αντί να παρέχει εργαλεία για να παρακάμψει τις άμυνες δημιουργίας λογαριασμών, η ομάδα στράφηκε χρησιμοποιώντας τα δικά της κουπόνια που κερδίζουν CAPTCHA από bot για να δημιουργήσει δόλιους λογαριασμούς Microsoft για μεταπώληση.

«Αυτό που παρατηρήσαμε με το Storm-1152 είναι χαρακτηριστικό», λέει η Boffa. Κάθε φορά που πιάνουμε έναν παράγοντα απειλής, αυτός δοκιμάζει κάτι άλλο. Το να είμαστε ένα βήμα μπροστά από αυτούς είναι ένα παιχνίδι γάτας και ποντικού.»

Στήριξη νομικής υπόθεσης ενάντια στο Storm-1152

Όταν η δόλια δραστηριότητα παρουσίασε μεγάλη αύξηση τον Μάρτιο του 2023, η Cambric και η Mesa προσέλαβαν τη Μονάδα Ψηφιακών Εγκλημάτων (DCU) της Microsoft για να δουν τι περισσότερο θα μπορούσε να γίνει.

Ως εξωτερικό τμήμα επιβολής της Microsoft, το DCU συνήθως στοχεύει μόνο τους πιο σοβαρούς ή επίμονους παράγοντες. Επικεντρώνεται στη διατάραξη —αυξάνοντας το κόστος της επιχειρηματικής δραστηριότητας— για την οποία οι ποινικές διώξεις ή/και οι αστικές αγωγές είναι πρωταρχικά εργαλεία.

Ο Sean Farrell, επικεφαλής σύμβουλος για την ομάδα επιβολής του εγκλήματος στον κυβερνοχώρο στο DCU της Microsoft, ο Jason Lyons, κύριος διευθυντής ερευνών στην ομάδα επιβολής του εγκλήματος στον κυβερνοχώρο του DCU στη Microsoft και ο ανώτερος ερευνητής στον κυβερνοχώρο Maurice Mason συγκεντρώθηκαν για να διερευνήσουν περαιτέρω. Συντονίστηκαν με τον εξωτερικό σύμβουλο της Microsoft για να σχεδιάσουν μια νομική στρατηγική και συγκέντρωσαν τα αποδεικτικά στοιχεία που απαιτούνται για την υποβολή αγωγής, αντλώντας πληροφορίες από πολλές ομάδες σε όλη τη Microsoft και τις πληροφορίες απειλών που συνέλεγε η Arkose Labs.

«Πολλή δουλειά είχε ήδη γίνει μέχρι τη στιγμή που ενεπλάκη το DCU», θυμάται ο Lyons. «Η ομάδα αναγνώρισης και η Arkose Labs είχαν ήδη κάνει σημαντική δουλειά στον εντοπισμό και την απενεργοποίηση λογαριασμών και επειδή το MSTIC μπόρεσε να συνδέσει τους δόλιους λογαριασμούς με ορισμένα επίπεδα υποδομής, σκεφτήκαμε ότι αυτή θα ήταν μια καλή νομική υπόθεση DCU».

Μερικοί από τους παράγοντες που συμβάλλουν στη διαμόρφωση μιας υπόθεσης που αξίζει να επιδιωχθεί περιλαμβάνουν την ύπαρξη νόμων που μπορούν να χρησιμοποιηθούν σε μια πολιτική αγωγή, την ύπαρξη δικαιοδοσίας και την προθυμία της εταιρείας να κατονομάσει δημόσια άτομα.

Ο Lyons παρομοίασε την εξέταση αυτών των παραγόντων με μια διαδικασία διαλογής, όπου το DCU εξέτασε τα γεγονότα και τις πληροφορίες για να προσδιορίσει αν όλα ήταν καλά. «Με βάση αυτό που κάνουμε, αναρωτιόμαστε αν θέλουμε να ξοδέψουμε τον χρόνο και την ενέργειά μας για να αναλάβουμε δράση», λέει. «Θα αξίζει ο αντίκτυπος για τους πόρους που πρέπει να διαθέσουμε εκεί;» Η απάντηση σε αυτή την περίπτωση ήταν ναι.

Ο Mason είχε αναλάβει να εργαστεί για την απόδοση των δραστηριοτήτων του Storm-1152 για το έγκλημα στον κυβερνοχώρο ως υπηρεσία. «Ο ρόλος μου ήταν να παρακολουθώ πώς ο Storm-1152 πούλησε αυτούς τους δόλιους λογαριασμούς σε άλλες ομάδες απειλών και να εντοπίσω τα άτομα πίσω από το Storm-1152», εξηγεί ο Mason.

Μέσω της ερευνητικής τους εργασίας, η οποία περιελάμβανε μια βαθιά ανασκόπηση των σελίδων κοινωνικών μέσων και των αναγνωριστικών πληρωμών, η Microsoft και η Arkose Labs μπόρεσαν να αναγνωρίσουν τα άτομα πίσω από το Storm-1152 —Duong Dinh Tu, Linh Van Nguyễn (επίσης γνωστό ως Nguyễn Van Linh) και Tai Van Nguyen.

Τα ευρήματά τους δείχνουν ότι αυτά τα άτομα λειτουργούσαν και έγραφαν τον κώδικα για τις παράνομες τοποθεσίες Web, δημοσίευαν λεπτομερείς οδηγίες βήμα προς βήμα σχετικά με τον τρόπο χρήσης των προϊόντων τους μέσω εκπαιδευτικών βίντεο και παρείχαν υπηρεσίες συνομιλίας για να βοηθήσουν όσους χρησιμοποιούν τις δόλιες υπηρεσίες τους. Στη συνέχεια έγιναν πρόσθετες συνδέσεις με την τεχνική υποδομή του ομίλου, την οποία η ομάδα μπόρεσε να εντοπίσει στους παρόχους φιλοξενίας που εδρεύουν στις ΗΠΑ.

«Ένας από τους λόγους που ακολουθούμε αυτές τις ενέργειες στο DCU είναι για να αποτρέψουμε τον αντίκτυπο αυτών των εγκληματιών στον κυβερνοχώρο. Αυτό το κάνουμε υποβάλλοντας μηνύσεις ή καταγγέλλοντας εγκληματικές πράξεις που οδηγούν σε συλλήψεις και διώξεις».
Sean Farrell 
Lead Counsel, Ομάδα Δίωξης Ηλεκτρονικού Εγκλήματος, Microsoft

Περιγράφοντας την απόφαση να προχωρήσει η υπόθεση, ο Farrell λέει: «Εδώ ήμασταν τυχεροί λόγω της σπουδαίας δουλειάς των ομάδων, οι οποίες είχαν εντοπίσει τους παράγοντες που είχαν δημιουργήσει την υποδομή και τις εγκληματικές υπηρεσίες.

Ένας από τους λόγους που ακολουθούμε αυτές τις ενέργειες στο DCU είναι για να αποτρέψουμε τον αντίκτυπο αυτών των εγκληματιών στον κυβερνοχώρο. Αυτό το κάνουμε υποβάλλοντας μηνύσεις ή καταγγέλλοντας εγκληματικές πράξεις που οδηγούν σε συλλήψεις και διώξεις. Νομίζω ότι στέλνει ένα πολύ ισχυρό μήνυμα όταν μπορείς να αναγνωρίσεις τους παράγοντες και να τους αναγνωρίσεις δημοσίως σε νομικά υπομνήματα στις Ηνωμένες Πολιτείες».​​

Το Storm-1152 επανεμφανίζεται και μια δεύτερη νομική ενέργεια​​

Ενώ η ομάδα είδε μια άμεση πτώση στην υποδομή μετά τη διατάραξη του Δεκεμβρίου 2023, το Storm-1152 επανεμφανίστηκε λανσάροντας έναν νέο ιστότοπο που ονομάζεται RockCAPTCHA και νέα βίντεο με οδηγίες για να βοηθήσει τους πελάτες του. Η RockCAPTCHA στόχευσε τη Microsoft προσφέροντας υπηρεσίες ειδικά σχεδιασμένες για να προσπαθήσουν να νικήσουν τα μέτρα ασφαλείας CAPTCHA της Arkose Labs. Η ενέργεια του Ιουλίου επέτρεψε στη Microsoft να αναλάβει τον έλεγχο αυτού του ιστότοπου και να στείλει ένα ακόμη χτύπημα στους παράγοντες απειλής.

Η μονάδα έρευνας πληροφοριών για απειλές της Arkose (ACTIR) εξέτασε επίσης πιο προσεκτικά τον τρόπο με τον οποίο το Storm-1152 προσπαθούσε να ξαναχτίσει τις υπηρεσίες του. Παρατήρησαν την ομάδα να χρησιμοποιεί πιο εξελιγμένες τακτικές, συμπεριλαμβανομένης της εντατικοποίησης της μόχλευσης της τεχνητής νοημοσύνης (AI), για να θολώσει τη δραστηριότητά της και να αποφύγει τον εντοπισμό. Αυτή η αναζωπύρωση είναι ενδεικτική των αλλαγών που συμβαίνουν στο τοπίο των απειλών και καταδεικνύει τις προηγμένες δυνατότητες των επιτιθέμενων που γνωρίζουν καλά τις τεχνολογίες AI. 

Ένας από τους κύριους τομείς όπου το Storm-1152 έχει ενσωματώσει την τεχνητή νοημοσύνη είναι οι τεχνικές αποφυγής. Η Arkose Labs έχει δει την ομάδα να χρησιμοποιεί τεχνητή νοημοσύνη για να δημιουργήσει συνθετικά ανθρώπινες υπογραφές.

Ο Vikas Shetty είναι ο επικεφαλής του προϊόντος της Arkose Labs και ηγείται της ερευνητικής μονάδας απειλών ACTIR. «Η χρήση μοντέλων τεχνητής νοημοσύνης επιτρέπει στους επιτιθέμενους να εκπαιδεύουν συστήματα που εκπέμπουν αυτές τις ανθρώπινες υπογραφές, οι οποίες στη συνέχεια μπορούν να χρησιμοποιηθούν σε μεγάλη κλίμακα για επιθέσεις», δήλωσε ο Shetty. «Η πολυπλοκότητα και η ποικιλία αυτών των υπογραφών καθιστούν δύσκολο για τις παραδοσιακές μεθόδους ανίχνευσης να συμβαδίσουν».

Επιπλέον, η Arkose Labs παρατήρησε το Storm-1152 να προσπαθεί να στρατολογήσει και να απασχολήσει μηχανικούς τεχνητής νοημοσύνης, συμπεριλαμβανομένων φοιτητών μεταπτυχιακών σπουδών, υποψηφίων διδακτόρων, ακόμη και καθηγητών σε χώρες όπως το Βιετνάμ και η Κίνα.

«Αυτά τα άτομα πληρώνονται για να αναπτύξουν προηγμένα μοντέλα τεχνητής νοημοσύνης που μπορούν να παρακάμψουν εξελιγμένα μέτρα ασφαλείας. Η τεχνογνωσία αυτών των μηχανικών τεχνητής νοημοσύνης διασφαλίζει ότι τα μοντέλα δεν είναι μόνο αποτελεσματικά αλλά και προσαρμόσιμα στα εξελισσόμενα πρωτόκολλα ασφαλείας», δήλωσε ο Shetty.

Το να παραμείνουμε επίμονοι είναι το κλειδί για την ουσιαστική διατάραξη των κυβερνοεγκληματικών ενεργειών, όπως και η παρακολούθηση του τρόπου λειτουργίας και χρήσης των νέων τεχνολογιών των εγκληματιών στον κυβερνοχώρο.

«Πρέπει να συνεχίσουμε να είμαστε επίμονοι και να αναλαμβάνουμε ενέργειες που δυσκολεύουν τους εγκληματίες να βγάλουν χρήματα», είπε ο Φάρελ. «Αυτός είναι ο λόγος που καταθέσαμε μια δεύτερη αγωγή για να πάρουμε τον έλεγχο αυτού του νέου τομέα. Πρέπει να στείλουμε ένα μήνυμα ότι δεν θα ανεχθούμε δραστηριότητα που επιδιώκει να βλάψει τους πελάτες και τα άτομα μας στο Διαδίκτυο».

Γνώση που αποκτήθηκε και μελλοντικές επιπτώσεις

Αναλογιζόμενος το αποτέλεσμα της έρευνας και της διακοπής του Storm-1152, ο Farrell σημειώνει ότι η υπόθεση είναι σημαντική όχι μόνο λόγω των επιπτώσεών της σε εμάς και στις άλλες εταιρείες που επηρεάζονται, αλλά και λόγω της προσπάθειας της Microsoft να κλιμακώσει τον αντίκτυπο αυτών των λειτουργιών, οι οποίες είναι μέρος του συνολικού οικοσυστήματος του εγκλήματος στον κυβερνοχώρο ως υπηρεσία.

Ένα δυνατό μήνυμα στο κοινό

«Το να δείξουμε ότι μπορούσαμε να εφαρμόσουμε τους νομικούς μοχλούς που χρησιμοποιήσαμε τόσο αποτελεσματικά σε επιθέσεις κακόβουλου λογισμικού και σε επιχειρήσεις εθνικών κρατών οδήγησε σε σημαντικό μετριασμό ή αποκατάσταση της δραστηριότητας του παράγοντα απειλής, η οποία έχει πέσει σχεδόν στο μηδέν για αρκετό καιρό μετά την υποβολή της μήνυσης», λέει ο Farrell. «Νομίζω ότι από αυτό είδαμε ότι μπορείτε να υπάρξει πραγματική αποτροπή και το μήνυμα που αντλεί το κοινό από αυτό είναι σημαντικό – όχι μόνο για τον αντίκτυπο, αλλά για το ευρύτερο καλό της διαδικτυακής κοινότητας».

Νέοι φορείς πρόσβασης στην ταυτότητα

Μια άλλη σημαντική παρατήρηση ήταν μια γενική μετατόπιση από τους παράγοντες απειλής που προσπαθούν να συμβιβάσουν τα τελικά σημεία, αλλά μάλλον να ακολουθήσουν ταυτότητες.  Βλέπουμε στις περισσότερες επιθέσεις ransomware ότι οι φορείς απειλών αξιοποιούν κλεμμένες ή παραβιασμένες ταυτότητες ως αρχικό φορέα επίθεσης.
«Αυτή η τάση δείχνει πώς η ταυτότητα πρόκειται να αναλάβει ως αρχικός φορέας πρόσβασης για επερχόμενα περιστατικά», λέει ο Mason. «Οι CISO μπορεί να θέλουν να λάβουν μια πιο σοβαρή στάση σχετικά με την ταυτότητα κατά τη διαμόρφωση μοντέλων για τους οργανισμούς τους – να εστιάσουν περισσότερο στην πλευρά της ταυτότητας πρώτα και μετά να προχωρήσουν στα τελικά σημεία».

Η συνεχής καινοτομία είναι απαραίτητη

Η επανεμφάνιση του Storm-1152 και των στρατηγικών του που εμπλουτίζονται με AI υπογραμμίζει την εξελισσόμενη φύση των απειλών στον κυβερνοχώρο. Η εξελιγμένη χρήση της τεχνητής νοημοσύνης τόσο για διαφυγή όσο και για επίλυση προκλήσεων θέτει σημαντικές προκλήσεις για τα παραδοσιακά μέτρα ασφαλείας. Οι οργανισμοί πρέπει να προσαρμοστούν ενσωματώνοντας προηγμένες τεχνικές εντοπισμού και μετριασμού με γνώμονα την τεχνητή νοημοσύνη για να παραμείνουν μπροστά από αυτές τις απειλές.
«Η περίπτωση του Storm-1152 υπογραμμίζει την κρίσιμη ανάγκη για συνεχή καινοτομία στην ασφάλεια στον κυβερνοχώρο για την αντιμετώπιση των εξελιγμένων τακτικών που εφαρμόζουν επιτιθέμενοι με γνώσεις AI», λέει ο Shetty. «Καθώς αυτές οι ομάδες συνεχίζουν να εξελίσσονται, το ίδιο πρέπει και οι άμυνες που έχουν σχεδιαστεί για να προστατεύονται από αυτές».

Γνωρίζουμε ότι θα συνεχίσουμε να αντιμετωπίζουμε νέες προκλήσεις ασφαλείας τις επόμενες ημέρες, αλλά είμαστε αισιόδοξοι για το τι μάθαμε από αυτή την ενέργεια. Ως μέλος της κοινότητας των αμυνόμενων, γνωρίζουμε ότι εργαζόμαστε καλύτερα μαζί στην υπηρεσία του κοινού καλού και ότι η συνεχής συνεργασία δημόσιου και ιδιωτικού τομέα παραμένει απαραίτητη για την αντιμετώπιση του εγκλήματος στον κυβερνοχώρο.

Ο Farrell λέει, "Η συνεργασία μεταξύ ομάδων αυτής της δράσης - συνδυάζοντας τις προσπάθειες πληροφοριών για απειλές, προστασία ταυτότητας, έρευνα, απόδοση, νομική δράση και εξωτερικές συνεργασίες - είναι ένα μοντέλο για το πώς πρέπει να λειτουργούμε."

Σχετικά άρθρα

Διατάραξη των υπηρεσιών πύλης για το κυβερνοέγκλημα

Η Microsoft, με την υποστήριξη πληροφοριών για απειλές της Arkose Labs, λαμβάνει τεχνικά και νομικά μέτρα για να αναχαιτίσει τον νούμερο ένα πωλητή και δημιουργό δόλιων λογαριασμών Microsoft, μια ομάδα που ονομάζουμε Storm-1152. Παρακολουθούμε, παρατηρούμε και θα αναλάβουμε δράση για να προστατεύσουμε τους πελάτες μας.
Μάθετε περισσότερα

Η Microsoft, η Amazon και η διεθνής επιβολή του νόμου ενώνουν τις δυνάμεις τους για την καταπολέμηση της απάτης στην τεχνική υποστήριξη

Δείτε πώς η Microsoft και η Amazon ένωσαν για πρώτη φορά τις δυνάμεις τους για να εξουδετερώσουν τα παράνομα τηλεφωνικά κέντρα τεχνικής υποστήριξης σε όλη την Ινδία.
Μάθετε περισσότερα

Μέσα από τη μάχη κατά των εισβολέων που παραβίασαν το λογισμικό νοσοκομείων και έθεσαν σε κίνδυνο ζωές

Δείτε τα παρασκήνια μιας κοινής επιχείρησης μεταξύ της Microsoft, της εταιρείας κατασκευής λογισμικού Fortra και της Health-ISAC για να αναχαιτίσουν παραβιασμένους διακομιστές Cobalt Strike και να δυσκολέψουν τη δράση των εγκληματιών του κυβερνοχώρου.
Μάθετε περισσότερα

Ακολουθήστε την Ασφάλεια της Microsoft