Chez Microsoft, nous continuons à chercher des moyens innovants de protéger les utilisateurs en ligne, ce qui implique de ne pas tolérer ceux qui créent des copies frauduleuses de nos produits pour nuire à autrui. Les comptes en ligne frauduleux agissent comme une passerelle pour toute une série d’activités cybercriminelles, notamment l’hameçonnage de masse, l’usurpation d’identité et la fraude, ainsi que les attaques par déni de service distribué (DDoS). C’est pourquoi aujourd’hui, grâce aux informations précieuses en matière de veille des menaces fournies par Arkose Labs, l’un des principaux fournisseurs de solutions de défense en matière de cybersécurité et de gestion des bots, nous nous attaquons au premier vendeur et créateur de comptes Microsoft frauduleux, un groupe que nous appelons Storm-1152. Nous envoyons un message fort à ceux qui cherchent à créer, vendre ou distribuer des produits Microsoft frauduleux à des fins de cybercrime : nous observons, analysons et agirons pour protéger nos clients. Storm-1152 gère des sites web et des pages de réseaux sociaux illicites, vendant des comptes Microsoft frauduleux et des outils permettant de contourner les logiciels de vérification d’identité sur des plateformes technologiques bien connues. Ces services réduisent le temps et les efforts nécessaires aux criminels pour se livrer à toute une série de comportements délictueux et abusifs en ligne. À ce jour, Storm-1152 a créé pour la vente environ 750 millions de comptes Microsoft frauduleux, rapportant au groupe des millions de dollars en revenus illicites et coûtant à Microsoft et à d’autres sociétés encore plus d’argent pour lutter contre leurs activités criminelles. Avec l’action d’aujourd’hui, notre objectif est de dissuader les comportements criminels. En cherchant à ralentir la vitesse à laquelle les cybercriminels lancent leurs attaques, notre objectif est d’augmenter le coût de leurs activités tout en poursuivant nos enquêtes et en protégeant nos clients et les autres utilisateurs en ligne.
Obtenez des informations directement des experts sur le podcast Microsoft Threat Intelligence. Écoutez maintenant.
Perturber les services passerelle du cybercrime
Storm-1152 joue un rôle important dans l’écosystème hautement spécialisé du cybercrime en tant que service. Les cybercriminels ont besoin de comptes frauduleux pour soutenir leurs activités criminelles largement automatisées. Les entreprises étant en mesure d’identifier et de fermer rapidement les comptes frauduleux, les criminels ont besoin d’un plus grand nombre de comptes pour contourner les efforts d’atténuation. Au lieu de perdre du temps à essayer de créer des milliers de comptes frauduleux, les cybercriminels peuvent simplement les acheter à Storm-1152 et à d’autres groupes. Les criminels peuvent ainsi concentrer leurs efforts sur leurs objectifs ultimes, à savoir des activités d’hameçonnage, de spam, de ransomware et d’autres types de fraude et d’abus. Storm-1152 et les groupes de ce type permettent à des dizaines de cybercriminels de mener leurs activités malveillantes plus efficacement.
La veille des menaces Microsoft a identifié plusieurs groupes impliqués dans des ransomwares, des vols de données et des extorsions qui ont utilisé des comptes de Storm-1152. Par exemple, Octo Tempest, également connu sous le nom de Scattered Spider, a obtenu de Storm-1152 des comptes Microsoft frauduleux. Octo Tempest est un groupe de cybercriminels aux motivations financières qui s’appuie sur de vastes campagnes de piratage psychologique pour compromettre des organisations dans le monde entier dans le but de leur extorquer de l’argent. Microsoft continue de suivre plusieurs autres acteurs de la menace spécialisés dans le ransomware ou l’extorsion qui ont acheté des comptes frauduleux à Storm-1152 pour renforcer leurs attaques, notamment Storm-0252 et Storm-0455.
Le jeudi 7 décembre, Microsoft a obtenu une ordonnance du tribunal du district sud de New York pour saisir l’infrastructure basée aux États-Unis et mettre hors ligne les sites web utilisés par Storm-1152 pour nuire aux clients de Microsoft. Bien que notre affaire se concentre sur les comptes Microsoft frauduleux, les sites web concernés vendaient également des services permettant de contourner les mesures de sécurité sur d’autres plateformes technologiques bien connues. L’action entreprise aujourd’hui a donc un impact plus large, qui profite aux utilisateurs au-delà de Microsoft. Plus précisément, l’unité de lutte contre le cybercrime de Microsoft a perturbé :
- Hotmailbox.me, un site web vendant des comptes Microsoft Outlook.
- 1stCAPTCHA, AnyCAPTCHA et NoneCAPTCHA, des sites web qui facilitent la mise à disposition d’outils, l’infrastructure et la vente du service de résolution CAPTCHA pour contourner la confirmation d’utilisation et la création de compte par une personne réelle. Ces sites vendaient des outils de contournement de la vérification d’identité pour d’autres plateformes technologiques.
- Les sites de réseaux sociaux activement utilisés pour commercialiser ces services.
Images des sites web illicites de Storm-1152.
Microsoft s’engage à offrir une expérience numérique sécurisée à toutes les personnes et organisations de la planète. Nous travaillons en étroite collaboration avec Arkose Labs pour déployer une solution de défense CAPTCHA de nouvelle génération. La solution exige de chaque utilisateur potentiel qui souhaite ouvrir un compte Microsoft qu’il déclare être un être humain (et non un bot) et qu’il vérifie l’exactitude de cette déclaration en résolvant différents types de défis.
Comme le dit Kevin Gosschalk, fondateur et directeur général d’Arkose Labs : « Storm-1152 est un ennemi redoutable dont le seul but est de gagner de l’argent en donnant à ses adversaires les moyens de commettre des attaques complexes. Le groupe se distingue car il a développé son activité CaaS au grand jour plutôt que sur le dark web. Storm-1152 a fonctionné comme une entreprise typique sur Internet, offrant une formation à ses outils et même un service clientèle complet. En réalité, Storm-1152 était une passerelle pour des activités frauduleuses graves. »
L’activité de Storm-1152 ne viole pas seulement les conditions d’utilisation du service de Microsoft en vendant des comptes frauduleux, mais elle cherche aussi délibérément à nuire aux clients d’Arkose Labs et à tromper les victimes en se faisant passer pour des utilisateurs légitimes dans le but de contourner les mesures de sécurité.
Capture d’écran d’une saisie de domaine initiée par Microsoft car ce site web tente de vendre des comptes Microsoft obtenus frauduleusement
Notre analyse de l’activité de Storm-1152 a porté sur la détection, l’analyse, la télémétrie, les achats tests sous couverture et l’ingénierie à rebours afin d’identifier l’infrastructure malveillante hébergée aux États-Unis. La veille des menaces Microsoft et l’unité de recherche de veille des cybermenaces d’Arkose (ACTIR) ont fourni des données et des informations supplémentaires pour renforcer notre affaire judiciaire.
Dans le cadre de notre enquête, nous avons pu confirmer l’identité des acteurs à la tête des opérations de Storm-1152 : Duong Dinh Tu, Linh Van Nguyễn (également connu sous le nom de Nguyễn Van Linh) et Tai Van Nguyen, basés au Vietnam. Nos constatations montrent que ces personnes ont exploité et écrit le code des sites web illicites, publié des instructions détaillées, étape par étape, sur la manière d’utiliser leurs produits au moyen de tutoriels vidéo, et fourni des services de conversation instantanée pour aider ceux qui utilisent leurs services frauduleux.
Microsoft a depuis lors déposé une plainte pénale auprès des autorités judiciaires des États-Unis. Nous sommes reconnaissants de notre partenariat avec les forces de l’ordre qui peuvent traduire en justice ceux qui cherchent à nuire à nos clients.
Chaîne YouTube de Duong Dinh Tu avec des tutoriels vidéo pour contourner les mesures de sécurité.
L’action entreprise aujourd’hui s’inscrit dans la continuité de la stratégie de Microsoft qui consiste à s’attaquer à l’écosystème cybercriminel dans son ensemble et à cibler les outils utilisés par les cybercriminels pour lancer leurs attaques. Elle s’appuie sur le développement d’une méthode légale utilisée avec succès pour perturber les logiciels malveillants et les opérations des États-nations. Nous avons également établi des partenariats avec d’autres organisations du secteur afin d’accroître le partage de renseignements sur la fraude et d’améliorer davantage nos algorithmes d’intelligence artificielle et d’apprentissage automatique qui détectent et signalent rapidement les comptes frauduleux.
Comme nous l’avons déjà dit, les perturbations ne se font pas en un jour. La lutte contre le cybercrime exige de la persévérance et une vigilance constante pour perturber les nouvelles infrastructures malveillantes. Alors que l’action en justice intentée aujourd’hui aura un impact sur les opérations de Storm-1152, nous nous attendons à ce que d’autres acteurs de la menace adaptent leurs techniques en conséquence. La poursuite de la collaboration entre les secteurs public et privé, comme aujourd’hui avec Arkose Labs et les forces de l’ordre des États-Unis, reste essentielle si nous voulons réduire de manière significative l’impact de la cybercriminalité.
Suivez Microsoft