Trace Id is missing

Azione di rilievo contro le frodi: arrestare Storm-1152

Condividi
Una serie colorata di cerchi con diverse icone.

Panoramica

A marzo 2023, un grande cliente Microsoft ha subito una serie di attacchi informatici spam che hanno causato interruzioni nel suo sistema.

La causa? Uno sbarramento di account Microsoft Outlook e Hotmail creati in modo fraudolento che cercavano di raccogliere i vantaggi dei servizi del clienti forniti come versioni di valutazione di prova a potenziali utenti, nonostante tali account falsi non avessero alcuna intenzione di pagare mai per tali servizi. Di conseguenza, il cliente ha bloccato tutte le creazioni di nuovi account dagli indirizzi Microsoft Outlook e Hotmail.

Quello che stava dietro questo attacco era un'azienda fraudolenta più grande con base in Vietnam, un gruppo che Microsoft chiama Storm-1152.

Storm-1152 gestiva siti web e pagine di social media illeciti, vendendo strumenti e account Microsoft fraudolenti per superare la verifica dell'identità sulle più note piattaforme di tecnologia. I servizi di Storm-1152 agiscono da gateway per il crimine informatico riducendo il tempo e il lavoro necessari per condurre una serie di comportamenti criminali e abusivi online. In totale, il gruppo ha venduto circa 750 milioni di account Microsoft fraudolenti, con un guadagno per il gruppo di milioni di dollari in ricavi illeciti e un costo ancora maggiore per le aziende che devono combattere tale attività criminale.

Risultò che più gruppi stavano usando gli account di Storm-1152 per lanciare attacchi ransomware, per il furto e l'estorsione di dati, tra cui​ Octo Tempest, Storm-0252, Storm-0455 e altri. L'attività di vendita di account lo ha reso uno dei principali provider online cybercrime-as-a-service.

Microsoft monitorava l'ascesa dell'attività dannosa sin dal 2022, aumentando l'uso degli algoritmi di machine Learning per impedire e rilevare schemi ripetitivi per la creazione di account fraudolenti. Tuttavia, la primavera 2023 ha segnato un punto di flessione a causa del crescente abuso delle piattaforme di Microsoft e partner. Era necessaria un'azione più aggressiva ed è stato creato un team trasversale tra Microsoft e il nostro partner Arkose Labs.

Subito dopo l'azione, abbiamo osservato una riduzione di circa il 60% nel traffico delle registrazioni. Questa riduzione corrisponde al 60% o più delle registrazioni che i nostri algoritmi o partner hanno poi identificato come ingannevoli e che abbiamo poi sospeso dai servizi Microsoft. 

Lo sforzo coordinato ha portato alla creazione della Digital Crimes Unit (DCU) di Microsoft chea dicembre 2023ha avviato la prima azione legale per colpire e chiudere i siti Web che Storm-1152 stava usando per vendere i suoi servizi. Subito dopo l'azione, abbiamo osservato una riduzione di circa il 60% nel traffico delle registrazioni. Questa riduzione corrisponde al 60% o più delle registrazioni che i nostri algoritmi o partner hanno poi identificato come ingannevoli e che abbiamo poi sospeso dai servizi Microsoft. A luglio 23, abbiamo avviato una seconda azione civile per chiudere l'infrastruttura che il gruppo aveva provato a costruire dopo la causa di dicembre.

Questa emergente segnalazione di minacce descrive come l'azione è stata completata e mette in evidenza l'importanza della collaborazione nel settore per individuare le minacce informatiche. Il caso è un esempio di come il settore può usare canali legali per contribuire a fermare altri gruppi e garantire la sicurezza degli utenti online. Parla anche dell'importanza delle interruzioni continue e di come le azioni legali rimangono un modo efficace contro il crimine informatico, anche quando cambia le proprie tattiche. Alla fine della giornata, nessuna operazione può essere considerata conclusa.

Scoperta e identificazione di Storm-1152

A febbraio 2023, Matthew Mesa, Senior Security Researcher del Threat Intelligence Center (MSTIC) di Microsoft, ha osservato uno schema crescente di account Microsoft Outlook usati nelle campagne di phishing di massa. Nel suo ruolo, Mesa analizza le campagne di posta elettronica e cerca eventuale attività sospetta. Poiché continuava a osservare una crescita dell'uso di account fraudolenti, si è chiesto: "tutti questi account potrebbero essere correlati tra loro?"

Ha immediatamente creato un nuovo profilo dell'attore di minacce, Storm-1152 e ha iniziato a monitorarne l'attività e ha segnalato le sue scoperte al team che si occupa di identità di Microsoft. Anche Shinesa Cambric, Principal Product Manager dell'Anti-Abuse and Fraud Defense Team di Microsoft stava monitorando questa attività dannosa e aveva notato un aumento degli account automatizzati (bot) che provavano a superare le verifiche CAPTCHA usate per proteggere il processo di iscrizione ai servizi per gli utenti Microsoft.​

"Il mio team si è concentrato sia sull'esperienza utente sia sull'esperienza aziendale, il che significa che stiamo proteggendo ogni giorno miliardi di account da frode e abuso", ha spiegato Cambric. "Il nostro ruolo è quello di comprendere le metodologie degli attori di minacce affinché possiamo evitare gli attacchi e impedire l'accesso ai nostri sistemi. Pensiamo sempre alla prevenzione, a come poter fermare gli attori malintenzionati alla porta di ingresso".

Cosa ha destato la sua attenzione è stato il crescente livello di frode correlato all'attività. Quando più parti, i partner Microsoft e alte parti della nostra catena di approvvigionamento, ci hanno contattato per segnalare il danno causato da questi account Microsoft creati da bot, Cambric è entrata in azione.

Insieme al provider di difesa della cybersecurity e di gestione dei bot Arkose Labs, il team di Cambric ha lavorato per identificare e disabilitare gli account fraudolenti del gruppo e ha condiviso i dettagli del proprio lavoro con i colleghi che si occupano di intelligence sulle minacce nel MSTIC di Microsoft e l'unità Arkose Cyber Threat Intelligence Research (ACTIR).

"Il nostro ruolo è quello di comprendere le metodologie degli attori di minacce affinché possiamo evitare gli attacchi e impedire l'accesso ai nostri sistemi. Pensiamo sempre alla prevenzione, a come poter fermare gli attori malintenzionati alla porta di ingresso". 
Shinesa Cambric 
Principal Product Manager, Anti-Abuse and Fraud Defense Team, Microsoft 

"Inizialmente il nostro ruolo era quello di proteggere Microsoft dalla creazione di account dannosi", spiega Patrice Boffa, Chief Customer Officer di Arkose Labs; "Tuttavia, una volta che Storm-1152 è stato identificato come gruppo, abbiamo anche iniziato a raccogliere molta intelligence sulle minacce".

Capire Storm-1152

In quanto gruppo motivato da obiettivi finanziari in sviluppo, Storm-1152 si è distinto per essere insolitamente ben organizzato e professionale con le sue offerte cybercrime-as-a-service (CaaS). Agendo con un'azienda legittima, Storm-1152 ha gestito i suoi servizi di risoluzione delle verifiche CAPTCHA alla luce del sole.

"Se non fossimo a conoscenza che si tratta di un'azienda dannosa, potremmo metterla a confronto con qualsiasi altra azienda SaaS" 
Patrice Boffa
Chief Customer Officer, Arkose Labs

"Se non fossimo a conoscenza che si tratta di un'azienda dannosa, potremmo metterla a confronto con qualsiasi altra azienda SaaS", ha affermato Boffa, aggiungendo che AnyCAPTCHA.com di Storm-1152 aveva un sito Web pubblico, accettava pagamenti in criptovaluta tramite PayPal e offriva anche un canale di assistenza.

Questo servizio ha usato bot per raccogliere token CAPTCHA in blocco, venduti poi ai clienti che li usavano a loro volta per scopi non appropriati (ad esempio per la creazione in blocco di account Microsoft fraudolenti da usare in un secondo momento per attacchi informatici) prima della scadenza. I tentativi di configurare account fraudolenti stavano accadendo in modo così rapido ed efficace che il team di Arkose Labs ha concluso che il gruppo stesse usando tecnologia di machine-learning automatizzato. 

"Quando abbiamo notato il ritmo del loro adattamento ai nostri sforzi di mitigazione, abbiamo realizzato che molti dei loro attacchi fossero basato sull'IA", ha dichiarato Boffa. "Rispetto ad altri avversari osservati, Storm-1152 ha utilizzato l'intelligenza artificiale in modi innovativi". I team di Arkose Labs e Microsoft teams hanno potuto osservare un cambiamento nelle tattiche aziendali per adattarsi ai crescenti sforzi di rilevamento e prevenzione.

Inizialmente, Storm-1152 era incentrato sulla fornitura di servizi per criminali per superare le difese di sicurezza per altre aziende di tecnologia, con​Microsoft​ come vittima maggiore. Storm-1152 offriva servizi persuperare​​ le difese per creare account fraudolenti, quindi ha offerto un nuovo servizio dopo aver avvertito il rilevamento. Invece di fornire strumenti per superare le difese della creazione di account, il gruppo ha cambiato strada usando i propri token CAPTCHA raccolti tramite bot per creare account Microsoft fraudolenti da rivendere.

"Quanto osservato con Storm-1152 è tipico", ha detto Boffa. Ogni volta che prendi un attore di minacce, questo prova a fare qualcos'altro. Anticiparli è come un gioco tra gatto e topo".

Creare un caso legale contro Storm-1152

Quando l'attività fraudolenta ha raggiunto il punto massimo a marzo 2023, Cambric e Mesa hanno coinvolto la Digital Crimes Unit (DCU) di Microsoft per vedere cosa si poteva fare.

In quanto braccio di tutela esterno di Microsoft, la DCU generalmente persegue solo gli attori più seri o persistenti. Si concentra sull'interruzione, aumentando i costi dell'attività, per cui le azioni penali e/o le cause civili rappresentano gli strumenti principali.

Sean Farrell, Lead Counsel per il team di Cybercrime Enforcement nella DCU di Microsoft, Jason Lyons, Principal Manager of Investigations nel team Cybercrime Enforcement della DCU di Microsoft e il Senior Cyber Investigator Maurice Mason hanno unito le forze per indagare ulteriormente. Hanno coordinato il consiglio esterno di Microsoft per progettare una strategia legale e hanno messo insieme le prove necessarie per avviare un'azione civile, ottenendo informazioni dettagliate da più team Microsoft e l'intelligence sulle minacce raccolta da Arkose Labs.

"Era stato già fatto molto lavoro prima che la DCU venisse coinvolta", ha ricordato Lyons. "Il team che si occupa di identità e Arkose Labs avevano già fatto un lavoro significativo nell'identificazione e disabilitazione degli account e, poiché MSTIC era in grado di collegare gli account fraudolenti ad alcuni livelli dell'infrastruttura, abbiamo pensato che fosse un buon caso legale per la DCU".

Alcuni dei fattori che contribuiscono alla formazione di un caso che vale la pena perseguire includono la disponibilità di leggi che possono essere usate in un'azione civile, la giurisdizione e la volontà dell'azienda di individuare pubblicamente i soggetti.

Lyons ha paragonato la considerazione di tali fattori a un processo di triage, in cui la DCU esamina i fatti e le informazioni per determinare se si tratta di un buon caso. "In base a quello che facciamo, ci chiediamo se desideriamo spendere tempo ed energie nell'operazione", ha detto. "L'impatto che avrà sarà valso le risorse che avremo utilizzato?" La risposta in questo caso era sì.

Mason è stato incaricato di lavorar sull'attribuzione delle attività di cybercrime-as-a-service di Storm-1152. "Il mio ruolo consisteva nel monitorare in che modo Storm-1152 aveva venduto questi account fraudolenti ad altri gruppi dell'attore di minacce e identificare i soggetti dietro Storm-1152", ha spiegato Mason.

Attraverso il loro lavoro investigativo, che ha incluso un controllo approfondito delle pagine dei social media e degli identificativi di pagamento, Microsoft e Arkose Labs sono state in grado di identificare i soggetti dietro Storm-1152: Duong Dinh Tu, Linh Van Nguyễn (noto anche come Nguyễn Van Linh) e Tai Van Nguyen.

I loro dati dimostrano che questi individui hanno utilizzato e scritto il codice dei siti web illeciti, pubblicato istruzioni dettagliate su come usare i loro prodotti tramite videotutorial e fornito servizi di chat per assistere gli utenti dei servizi fraudolenti. Sono stati effettuati altri collegamenti all'infrastruttura tecnica del gruppo, che il team è stato in grado di localizzare negli Stati Uniti.

"Uno dei motivi per i quali perseguiamo tali azioni nella DCU è quello di ridurre l'impatto di questi criminali informatici. Lo facciamo avviando cause legali o azioni penali che portano ad arresti e accuse formali".
Sean Farrell 
Lead Counsel, Team Cybercrime Enforcement; Microsoft

Descrivendo la decisione di andare avanti con il caso, Ferrel ha affermato, "Qui siamo stati fortunati grazie all'enorme lavoro dei team, che hanno identificato gli attori che avevano creato l'infrastruttura e i servizi criminali.

Uno dei motivi per i quali perseguiamo tali azioni nella DCU è quello di ridurre l'impatto di questi criminali informatici. Lo facciamo avviando cause legali o azioni penali che portano ad arresti e accuse formali. Penso che riuscire a identificare gli attori e a identificarli pubblicamente in azioni legali negli Stati Uniti rappresenti un messaggio molto forte".​​

Storm-1152 rinasce e viene avviata una seconda azione legale​

Mentre il team osservava un calo immediato nell'infrastruttura a seguito dell'interruzione di dicembre 2023, Storm-1152 è riemerso lanciando un nuovo sito chiamato RockCAPTCHA e nuovi video pratici per aiutare i propri clienti. RockCAPTCHA ha colpito Microsoft offrendo servizi appositamente progettati per aggirare le misure di sicurezza CAPTCHA di Arkose Labs. L'azione di luglio ha consentito a Microsoft di prendere il controllo di questo sito Web e sferrare un altro colpo agli attori.

L'unità Arkose Cyber Threat Intelligence Research (ACTIR) ha anche osservato da vicino come Storm-1152 stava provando a ricreare i propri servizi. Ha osservato che il gruppo stava usando tattiche più sofisticate, compresa l'intensificazione dello sfruttamento dell'intelligenza artificiale per offuscare la propria attività ed eludere il rilevamento. Questa rinascita è indicativa dei cambiamenti che si stanno verificando nel panorama delle minacce e dimostra le funzionalità avanzate degli autori degli attacchi molto esperti di tecnologie IA. 

Una delle principali aree in cui Storm-1152 ha integrato l'IA è rappresentata dalle tecniche di evasione. Arkose Labs ha osservato che il gruppo ha usato l'IA per generare in modo sintetico firme uguali a quelle umane.

Vikas Shetty è capo prodotto per Arkose Labs e guida la sua unità di ricerca delle minacce, ACTIR. "L'uso dei modelli di IA consente agli autori degli attacchi di addestrare i sistemi che emettono queste firme simili a quelle dell'uomo, che possono poi essere usate su larga scala per gli attacchi", ha affermato Shetty. "La complessità e la varietà di queste firme ostacolano i tradizionali metodi di rilevamento".

Inoltre, Arkose Labs ha osservato il tentativo di Storm-1152 di assumere e impiegare ingegneri IA, inclusi studenti di master, candidati di dottorati e anche professori in Paesi come Cina e Vietnam.

"Questi individui vengono pagati per sviluppare modelli IA avanzati in grado di aggirare misure di sicurezza sofisticate. Le competenze di questi ingegneri IA garantiscono che i modelli non siano solo efficaci ma anche adattabili ai protocolli di sicurezza in continua evoluzione", ha affermato Shetty.

La tenacia è fondamentale per interrompere in modo significativo le operazioni dei criminali informatici come lo è il monitorare costantemente il modo in cui questi agiscono e usano le nuove tecnologie.

"Dobbiamo continuare a essere tenaci e ad agire per rendere più difficile per i criminali fare soldi", ha detto Farrel. "Ecco perché abbiamo avviato una seconda causa per assumere il controllo di questo nuovo dominio. Dobbiamo lanciare il messaggio che non tollereremo mai alcuna attività che cerca di danneggiare i nostri clienti e gli utenti online".

Lezioni apprese e future implicazioni

Riflettendo sul risultato dell'indagine e della chiusura di Storm-1152, Farrel nota che il caso è importante non solo per il suo impatto su di noi e sulle altre aziende interessate, ma per lo sforzo di Microsoft di scalare l'impatto di queste operazioni, che fanno parte dell'ecosistema di cybercrime-as-a-service complessivo.

Un forte messaggio per il pubblico

"Dimostrare di poter applicare le leve legali che abbiamo usato in modo così efficace agli attacchi malware e alle operazioni stato-nazione ha portato a una significativa mitigazione o correzione dell'attività dell'attore, precipitata quasi a zero per un po' di tempo a seguito della causa legale", ha affermato Farrel. "Penso che da questo abbiamo visto che puoi ottenere una reale deterrenza e che il messaggio che arriva al pubblico sia importante, non solo per l'impatto, ma per il bene più esteso della community online".

Nuovi vettori di accesso nelle identità

Un'altra importante osservazione riguarda un cambiamento generale degli attori di minacce che sono passati dal provare a compromettere gli endpoint a puntare alle identità.  Nella maggior parte degli attacchi ransomware, abbiamo osservato che gli attori di minacce stanno sfruttando identità rubate o compromesse come vettore di attacco iniziale.
"Questa tendenza sta mostrando in che modo l'identità sta prendendo il controllo come vettore di accesso iniziale per i futuri incidenti", ha affermato Mason. "I CISO dovrebbero assumere una posizione più seria sull'identità quando modellano le proprie organizzazioni, concentrarsi maggiormente innanzitutto sul lato dell'identità, poi passare agli endpoint".

L'innovazione continua è essenziale

La rinascita di Storm-1152 e delle sue strategie basate su IA sottolinea la natura mutevole delle minacce informatiche. Il loro sofisticato uso dell'IA per quanto riguarda l'elusione e la soluzione delle verifiche pone sfide significative per le misure di sicurezza tradizionali. Le organizzazioni devono adattarsi integrando le tecniche avanzate di mitigazione e rilevamento basate sull'IA per rimanere al passo con le minacce.
"Il caso di Storm-1152 evidenzia l'esigenza critica di un'innovazione continua nella cybersecurity per contrastare le tattiche sofisticate impiegate dagli autori degli attacchi esperti di IA", afferma Shetty. "Poiché questi gruppi continuano a evolversi, devono farlo anche le difese progettate per proteggersi da loro".

Sappiamo che continueremo ad affrontare nuove sfide di sicurezza nei prossimi giorni, ma siamo ottimisti su quanto appreso da questa azione. Come membro della community di difensori, sappiamo che lavoriamo meglio insieme a servizio del bene comune e che una collaborazione continua tra settore privato e pubblico rimane essenziale per affrontare il crimine informatico.

Farrell afferma, "La collaborazione tra team in questa azione, combinata agli sforzi dell'intelligence sulle minacce, alla protezione delle identità, alle indagini, all'attribuzione, all'azione legale e alle partnership esterne, è un modello di come dobbiamo lavorare".

Articoli correlati

Bloccare i servizi gateway per impedire il crimine informatico

Con il supporto di intelligence sulle minacce di Arkose Labs, Microsoft è in procinto di intraprendere un’azione legale e tecnica per interrompere il gruppo venditore e creatore numero uno di account Microsoft fraudolenti: Storm-1152. Stiamo osservando, prendendo appunti e agiremo per proteggere i nostri clienti.
Scopri di più

Microsoft, Amazon e le forze dell'ordine internazionali si sono unite per combattere le frodi nel supporto tecnico

Scopri come Microsoft e Amazon hanno unito le forze per la prima volta in assoluto per eliminare i call center di supporto tecnico illegali in India.
Scopri di più

Informazioni sulla lotta agli hacker che hanno interrotto il servizio degli ospedali e messo in pericolo vite

Scopri il dietro le quinte di un'operazione congiunta tra Microsoft, il produttore di software Fortra e Health-ISAC per bloccare i server craccati di Cobalt Strike e rendere difficile il lavoro dei criminali informatici.
Scopri di più

Segui Microsoft Security