Trace Id is missing

Odlučna akcija protiv prevara: Ometanje grupe Storm-1152

Deljenje
Šareni niz krugova sa različitim ikonama.

Pregled

U martu 2023. godine, veliki klijent korporacije Microsoft je bio suočen sa serijom kibernetičkih napada putem slanja bezvredne pošte što je izazvalo prekide u sistemu klijenta.

Uzrok toga? Serija lažno kreiranih Microsoft Outlook i Hotmail naloga sa ciljem da iskoriste usluge klijenta pružene u vidu probnih verzija za potencijalne korisnike, iako ovi lažni nalozi nisu imali nameru da ikada plate za te usluge. Kao rezultat toga, klijent je blokirao sva nova upisivanja naloga sa Microsoft Outlook i Hotmail adresa.

Iza ovog napada je zapravo stajala veća zlonamerna organizacija sa sedištem u Vijetnamu – grupa koju korporacija Microsoft naziva Storm-1152.

Grupa Storm-1152 je vodila nezakonite veb-sajtove i stranice na društvenim mrežama, prodajući lažne Microsoft naloge i alatke za zaobilaženje softvera za potvrdu identiteta na poznatim tehnološkim platformama. Usluge grupe Storm-1152 deluju kao neka vrsta kapije za kibernetički kriminal tako što smanjuju vreme i napor koji su potrebni kriminalcima da sprovode mnoštvo kriminalnih i zlonamernih ponašanja na mreži. Grupa je ukupno kreirala oko 750 miliona lažnih Microsoft naloga za prodaju, čime je zaradila milione dolara u nezakonitim prihodima, dok su preduzeća morale izdvojiti još više sredstava za borbu protiv njihovih kriminalnih aktivnosti.

Ispostavilo se da su se brojne grupe služile nalozima grupe Storm-1152 za sprovođenje ransomver napada, krađu podataka i iznudu, uključujući​​Octo Tempest, Storm-0252, Storm-0455 i druge. Njihov posao sa prodajom naloga učinio je ovu grupu jednim od najvećih dobavljača kibernetičkog kriminala kao usluge na mreži.

Korporacija Microsoft je pratila porast ovih zlonamernih aktivnosti od 2022. godine, povećavajući upotrebu algoritama mašinskog učenja kako bi sprečila i otkrila uočene obrasce u kreiranju ovih lažnih naloga. Međutim, proleće 2023. godine označilo je prekretnicu zbog eskalacije u zloupotrebi platformi korporacije Microsoft i njenih partnera. To je zahtevalo agresivniji nastup, stoga je formiran tim sa različitim funkcijama, koji je uključivao članove iz korporacije Microsoft i našeg partnera kompanije Arkose Labs.

Odmah nakon preduzetih mera, zabeleženo je smanjenje od nekih 60% u oblasti otvaranja novih naloga. Ovo smanjenje se približno podudara sa onih 60% ili više novo-otvorenih naloga koje su naši algoritmi ili partneri kasnije identifikovali kao zlonamerne, a koje smo potom suspendovali iz Microsoft usluga. 

Koordinisani napori doveli su do toga da je Jedinica za digitalni kriminal (DCU) korporacije Microsoft preduzelaprvepravne mere u decembru 2023. godine kako bi zaplenila i zatvorila veb-sajtove koje je grupa Storm-1152 koristila za prodaju svojih usluga. Odmah nakon preduzetih mera, zabeleženo je smanjenje od nekih 60% na polju otvaranja novih naloga. Ovo smanjenje se približno podudara sa onih 60% ili više novo-otvorenih naloga koje su naši algoritmi ili partneri kasnije identifikovali kao zlonamerne, a koje smo potom suspendovali iz Microsoft usluga. Dana 23. jula, podneli smo drugu građanskopravnu tužbu kako bismo omeli grupu u pokušaju uspostavljanja nove infrastrukture nakon naše tužbe iz decembra meseca.

Ovaj izveštaj o novim pretnjama pruža uvid u to kako su mere sprovedene i ističe važnost saradnje unutar sektora u borbi protiv kibernetičkih pretnji. Ovaj slučaj je primer kako sektor može koristiti pravne kanale da pomogne u odvraćanju drugih grupa i očuvanju bezbednosti pojedinaca na mreži. Takođe, ukazuje na značaj kontinuiranih ometanja i pokazuje da pravne mere ostaju efikasan metod u borbi protiv kibernetičkih kriminalaca, čak i kada isti menjaju svoje taktike. Na kraju krajeva, nijedna operacija se ne završava samo jednom akcijom.

Otkrivanje i identifikacija grupe Storm-1152

U februaru 2023. godine, Metju Mesa, viši istraživač za bezbednost u Microsoft centru za informacije o pretnjama (MSTIC), primetio je rastući trend korišćenja Microsoft Outlook naloga u masovnim phishing kampanjama. U svojoj ulozi, Mesa analizira email kampanje i traži sumnjive aktivnosti. Kako je nastavio da primećuje rast u upotrebi lažnih naloga, postavio je sebi pitanje: „Da li su svi ovi nalozi povezani međusobno?”

Odmah je kreirao profil za novog zlonamernog aktera – grupu Storm-1152, i počeo da prati njihovu aktivnost, a Microsoft timu za zaštitu identitet skrenuo pažnju na svoja saznanja. Šajnesa Kembrik, glavna menadžerka za proizvodnju u Microsoft timu za zaštitu od zloupotreba i prevara, takođe je pratila ovu zlonamernu aktivnost i primetila je povećan broj automatskih naloga (botova) koji pokušavaju da prevaziđu CAPTCHA izazove koji se koriste u svrhu zaštite procesa prijave za korisnike Microsoft usluga.​

„Moj tim se fokusira na utisak pri radu, kako za naše korisnike, tako i za nas kao preduzeće, što znači da svakodnevno štitimo milijarde naloga od prevara i zloupotreba,“ objašnjava Kembrik. „Naša uloga je da razumemo metodologije zlonamernih aktera kako bismo mogli da izbegnemo napade i sprečimo pristup našim sistemima. Uvek razmišljamo o prevenciji – o tome kako da zaustavimo loše aktere na samom pragu.“

Njenu pažnju je privukao rastući trend prevara povezanih sa tom aktivnošću. Kada su brojne stranke – partneri korporacije Microsoft, kao i delovi našeg lanca snabdevanja – stupile u kontakt da prijave štetu koja je nastala preko ovih botom kreiranih Microsoft naloga, Kembrik je krenula u akciju.

Zajedno sa stručnjacima za odbranu kibernetičke bezbednosti i upravljanje botovima iz kompanije Arkose Labs, njen tim je radio na identifikaciji i gašenju lažnih naloga grupe, nakon čega su detalje svog rada podelili sa kolegama iz tima Microsoft centra za informacije o pretnjama (MSTIC), kao i sa Arkose jedinicom za istraživanje informacija o kibernetičkim pretnjama (ACTIR).

„Naša uloga je da razumemo metodologije zlonamernih aktera kako bismo mogli da izbegnemo napade i sprečimo pristup našim sistemima. Uvek razmišljamo o prevenciji – o tome kako da zaustavimo loše aktere na samom pragu.“ 
Šajnesa Kembrik 
glavna menadžerka za proizvodnju u Microsoft timu za zaštitu od zloupotreba i prevara 

„Prvobitno je naša uloga bila da zaštitimo korporaciju Microsoft od zlonamerno kreiranih naloga,“ objašnjava Patris Bofa, glavni službenik za odnose s korisnicima kompanije Arkose Labs, „ali nakon što smo Storm-1152 identifikovali kao grupu, počeli smo i da prikupljamo velik broj informacija o kibernetičkim pretnjama.“

Razumevanje grupe Storm-1152

Kao grupa u razvoju koja je motivisana finansijskim interesima, Storm-1152 se isticala po svojoj neobično dobroj organizaciji i profesionalizmu kada su u pitanju njihove ponude u oblasti kibernetičkog kriminala kao usluge (CaaS). Radeći kao legitimna kompanija, grupa Storm-1152 je svoju nezakonitu uslugu rešavanja CAPTCHA izazova obavljala usred bela dana.

„Da ne znate da je u pitanju zlonamerna organizacija, mogli biste istu uporediti sa bilo kojom drugom SaaS kompanijom,“ 
Patris Bofa
Glavni službenik za odnose s korisnicima, Arkose Labs

„Da ne znate da je u pitanju zlonamerna organizacija, mogli biste istu uporediti sa bilo kojom drugom SaaS kompanijom,“ kaže Bofa, dodajući da je AnyCAPTCHA.com grupe Storm-1152 imao javni veb-sajt, prihvatao kriptovalute putem platforme PayPal i čak nudio kanal za podršku.

Ova usluga je koristila botove za masovno prikupljanje CAPTCHA tokena, koji su zatim prodavani kupcima. Kupci su te tokene, pre nego bi istekli, koristili u neprikladne svrhe, (kao što je masovno kreiranje lažnih Microsoft naloga koji su kasnije korišćeni u kibernetičkim napadima). Pokušaji kreiranja lažnih naloga odvijali su se s tolikom brzinom i efikasnošću da je tim iz kompanije Arkose Labs zaključio da grupa koristi automatizovanu tehnologiju mašinskog učenja. 

Bofa je rekao: „Kada smo videli brzinu s kojom su se prilagođavali našim merama za smanjenje rizika, shvatili smo da su mnogi njihovi napadi bazirani na veštačkoj inteligenciji.“ „U poređenju sa drugim protivnicima sa kojima smo se susretali, grupa Storm-1152 je koristila veštačku inteligenciju na inovativne načine.“ Timovi iz kompanije Arkose Labs i korporacije Microsoft su primetili promenu u poslovnim taktikama kao njihov način da se prilagode povećanim naporima u otkrivanju i prevenciji.

Prvobitno je fokus grupe Storm-1152 bio na pružanju usluga kriminalcima za zaobilaženje bezbednosnih odbrana drugih tehnoloških kompanija, pri čemu jekorporacija ​Microsoft​ bila najviše pogođena. Grupa Storm-1152 je pružala uslugeza zaobilaženje​​ bezbednosnih odbrane u cilju kreiranja lažnih naloga, a zatim bi nudili novu uslugu nakon što bi primetili da su otkriveni. Umesto da pružaju alatke za zaobilaženje odbrane pri kreiranju naloga, grupa je prešla na korišćenje svojih vlastitih CAPTCHA tokena, dobijenih putem botova, kako bi na taj način kreirali lažne Microsoft naloge koje su kasnije prodavali.

„Kod grupe Storm-1152 smo primetili tipično ponašanje,“ rekao je Bofa. „Kad god uhvatite zlonamernog aktera, oni pokušaju nešto drugo. Zadržati prednost u odnosu na njih je poput igre mačke i miša.“

Prikupljanje dokaza u parničnom postupku protiv grupe Storm-1152

Kada su zlonamerne aktivnosti dostigle kritičnu tačku u martu 2023. godine, Kembrik i Mesa su angažovali Jedinicu za digitalni kriminal (DCU) korporacije Microsoft kako bi videli šta još može da se učini.

Kao spoljni organ za sprovođenje zakona korporacije Microsoft, Jedinica za digitalni kriminal se obično bavi samo najozbiljnijim ili najupornijim akterima. Fokus ove jedinice je na ometanju – podizanju troškova poslovanja – za šta su primarni alati krivične prijave i/ili građanskopravne tužbe.

Šon Farel, glavni savetnik tima za sprovođenje zakona u oblasti kibernetičkog kriminala unutar Jedinice za digitalni kriminal korporacije Microsoft, Džejson Lajons, glavni menadžer za istrage u timu za sprovođenje zakona u oblasti kibernetičkog kriminala u unutar Jedinice za digitalni kriminal korporacije Microsoft, kao i viši istraživač za kibernetički kriminal Moris Mejson su se sastali kako bi dodatno istražili situaciju. Koordinirali su sa spoljnim savetnicima korporacije Microsoft kako bi osmislili pravnu strategiju i prikupili dokaze potrebne za podnošenje građanskopravne tužbe, koristeći uvide iz više timova unutar korporacije Microsoft, kao i informacije o kibernetičkim pretnjama koje je prikupljala kompanija Arkose Labs.

„Mnogo posla je već bilo urađeno kada se u to uključila Jedinica za digitalni kriminal,“ priseća se Lajons. „Tim za zaštitu identiteta i Arkose Labs već su obavili značajan deo posla u identifikaciji i gašenju naloga, a pošto je MSTIC mogao da poveže lažne naloge sa određenim nivoima infrastrukture, mislili smo da bi ovo bio dobar pravni predmet za Jedinicu za digitalni kriminal.“

Neki od faktora koji doprinose formiranju pravnog predmeta koji vredi pokrenuti uključuju postojanje zakona koji se mogu koristiti u građanskopravnoj tužbi, postojanje nadležnosti, kao i spremnost same kompanije da javno imenuje pojedince.

Lajons je uporedio razmatranje ovih faktora sa procesom trijaže, gde je Jedinica za digitalni kriminal pregledala činjenice i informacije kako bi utvrdila da li je sve to dovoljno ubedljivo. „Na osnovu onoga što radimo, postavljamo si pitanje da li želimo da uložimo naše vreme i energiju u preduzimanje daljnjih radnji,“ rekao je. „Da li će postignuti učinak biti vredan resursa koje je potrebno uložiti?“ U ovom slučaju, odgovor je bio da.

Mejson je dobio zadatak da se bavi povezivanjem aktivnosti grupe Storm-1152 sa kibernetičkim kriminalom kao uslugom. „Moj zadatak bio je da pratim kako grupa Storm-1152 prodaje ove lažne naloge drugim grupama zlonamernih aktera, kao i da identifikujem odgovorne pojedince u grupi Storm-1152,“ objašnjava Mejson.

Kroz svoje istraživačke aktivnosti, koje su obuhvatale detaljnu analizu društvenih mreža i finansijskih tragova, korporacija Microsoft i kompanija Arkose Labs su uspeli da identifikuju odgovorne pojedince iza grupe Storm-1152 – Duong Dinh Tu, Linh Van Nguyễn (poznat i kao Nguyễn Van Linh), i Tai Van Nguyen.

Njihovi nalazi pokazuju da su ove osobe sprovodile akcije i napisale kôd za nezakonite veb-sajtove, putem video zapisa objavljivale detaljna i postupna uputstva o korišćenju njihovih proizvoda i pružale usluge ćaskanja kao pomoć svima onima koji koriste njihove prevarantske usluge. Nakon toga su identifikovane dodatne poveznice sa tehničkom infrastrukturom grupe, koju je tim uspeo da precizno locira na hostovima u SAD-u.

„Jedan od razloga zašto preduzimamo ove radnje u Jedinici za digitalni kriminal je da sprečimo uticaj ovih kibernetičkih kriminalaca. To činimo podnošenjem tužbi ili krivičnih prijava koje vode hapšenjima i krivičnom gonjenju.“
Šon Farel 
Glavni savetnik, tim za sprovođenje zakona u oblasti kibernetičkog kriminala; Microsoft

Opisujući odluku da se nastavi sa slučajem, Farel kaže: „Imali smo sreće zahvaljujući sjajno odrađenom poslu naših timova koji su identifikovali aktere koji su postavili infrastrukturu i kriminalne usluge.

Jedan od razloga zašto preduzimamo ove radnje u Jedinici za digitalni kriminal je da sprečimo uticaj ovih kibernetičkih kriminalaca. To činimo podnošenjem tužbi ili krivičnih prijava koje vode hapšenjima i krivičnom gonjenju. Kada uspete da identifikujete aktere i kada ih javno imenujete podnošenjem tužbi na teritoriji Sjedinjenih Američkih Država, vi time šaljete snažnu poruku.“​​

Grupa Storm-1152 se ponovo pojavljuje i druga tužba pred sudom​

Iako je tim odmah primetio pad u infrastrukturi nakon radnji ometanja u decembru 2023. godine, grupa Storm-1152 se ponovo pojavila pokretanjem novog sajta pod nazivom RockCAPTCHA, kao i objavom novih video uputstva za svoje korisnike. RockCAPTCHA je usmerio svoje aktivnosti protiv korporacije Microsoft nudeći usluge koje su posebno osmišljene da zaobiđu CAPTCHA sigurnosne mere kompanije Arkose Labs. Akcija u julu omogućila je korporaciji Microsoft da preuzme kontrolu nad ovim veb-sajtom i nanese još jedan udarac akterima.

Arkose jedinica za istraživanje informacija o kibernetičkim pretnjama (ACTIR) je dodatno analizirala kako grupa Storm-1152 pokušava da obnovi svoje usluge. Primetili su da grupa koristi naprednije metode, uključujući pojačanu upotrebu veštačke inteligencije (AI), kako bi prikrila svoje aktivnosti i izbegla otkrivanje. Ovo ponovno pojavljivanje ukazuje na promene u okruženju pretnji i pokazuje napredne sposobnosti napadača koji su vešti u tehnologijama veštačke inteligencije. 

Tehnike izbegavanja predstavljaju jednu od primarnih oblasti u kojoj je grupa Storm-1152 integrisala veštačku inteligenciju. Kompanija Arkose Labs je primetila da grupa koristi veštačku inteligenciju za sintetičko generisanje potpisa koji nalikuju ljudskim.

Vikas Šeti je šef proizvodnje u kompaniji Arkose Labs i vodi njihovu jedinicu za istraživanje informacija o kibernetičkim pretnjama, ACTIR. „Upotreba modela veštačke inteligencije omogućava napadačima da obučavaju sisteme koji generišu potpise koji nalikuju ljudskim i koji se zatim mogu koristiti u velikim razmerama za napade,“ rekao je Šeti. „Složenost i raznovrsnost ovih potpisa otežavaju prepoznavanje od strane tradicionalnim metodama otkrivanja.“

Pored toga, kompanija Arkose Labs je primetila da grupa Storm-1152 pokušava da regrutuje i zaposli inženjere za veštačku inteligenciju, uključujući studente master studija, kandidate za doktorske nauke, pa čak i profesore u zemljama kao što su Vijetnam i Kina.

„Ti pojedinci su plaćeni da projektuju napredne modele veštačke inteligencije koji mogu da zaobiđu sofisticirane mere bezbednosti. Stručnost ovih inženjera za veštačku inteligenciju osigurava da modeli nisu samo efikasni, već i sposobni da se prilagode razvijajućim protokolima za bezbednost,“ rekao je Šeti.

Ostati uporan je od ključne važnosti za značajno ometanje aktivnosti kibernetičkih kriminalaca, kao i praćenje njihovih metoda i upotrebe novih tehnologija.

„Moramo da ostanemo uporni i preduzimamo mere koje otežavaju kriminalcima da zarađuju,“ rekao je Farel. „To je razlog zbog kog smo podneli drugu tužbu u svrhu preuzimanja kontrole nad ovim novim domenom. „Moramo poslati poruku da nećemo tolerisati aktivnosti koje pokušavaju da naude našim klijentima i pojedincima na mreži.“

Stečeno iskustvo i buduće posledice

Razmišljajući o ishodu istrage i ometanju aktivnosti grupe Storm-1152, Farel naglašava da je ovaj slučaj važan ne samo zbog uticaja na nas i druge pogođene kompanije, već i zbog napora korporacije Microsoft da poveća uticaj ovih operacija koje su deo šireg ekosistema u oblasti kibernetičkog kriminala kao usluge.

Snažna poruka za javnost

„Pokazujući da možemo da primenimo pravne strategije koje smo tako efikasno koristili protiv napada malvera i operacija država doveli smo do značajnog smanjenja aktivnosti aktera koje su se, nakon što smo podneli tužbu, srozale gotovo na nulu tokom dužeg vremenskog perioda,“ kaže Farel. „Mislim da smo iz ovoga videli da je moguće postići stvarno odvraćanje, a poruka koju javnost iz toga dobija je važna – ne samo zbog uticaja, već i zbog opšteg dobra virtuelne zajednice.“

Novi vektori pristupa kroz identitet

Još jedno važno zapažanje je opšti prelazak zlonamernih aktera sa pokušaja da kompromituju krajnje tačke ka napadima na identitete korisnika.  Kod većine napada uz korišćenje ransomvera smo primetili da zlonamerni akteri koriste ukradene ili kompromitovane identitete kao početni vektor napada.
„Ovaj trend pokazuje kako će identitet postati glavni vektor pristupa za buduće incidente,“ kaže Mejson. „Direktori za bezbednost informacija bi trebali da zauzmu ozbiljniji stav spram zaštite identitet kada modeliraju bezbednosne strategije za svoje organizacije – prvo treba da se fokusiraju na bezbednost identiteta, a zatim na krajnje tačke.“

Kontinuirana inovacija je od ključne važnosti

Ponovno pojavljivanje grupe Storm-1152 i njihove strategije potpomognute veštačkom inteligencijom ističu razvijajuću prirodu kibernetičkih pretnji. Sofisticiran način na koji koriste veštačku inteligenciju za izbegavanje i rešavanje izazova predstavlja značajan problem za tradicionalne mere bezbednosti. Kako bi ostali ispred ovih pretnji, organizacije moraju da se prilagode uključivanjem naprednih tehnika za otkrivanja i smanjenje rizika zasnovanih na veštačkoj inteligenciji.
„Slučaj grupe Storm-1152 ističe kritičnu potrebu za kontinuiranom inovacijom u oblasti kibernetičke bezbednosti kako bismo se suprotstavili sofisticiranim taktikama koje koriste napadači upućeni u veštačku inteligenciju,“ kaže Šeti. „Kako se ove grupe razvijaju, tako i sistemi zaštite moraju da se unapređuju i prilagođavaju novim pretnjama.“

Znamo da ćemo nastaviti da se suočavamo sa novim bezbednosnim izazovima u danima koji su pred nama, ali smo optimisti u pogledu onoga što smo naučili iz ove akcije. Kao član zajednice odbrambenih stručnjaka, znamo da bolje radimo zajedno u službi zajedničkog dobra i da je nastavak saradnje između javnog i privatnog sektora ključan u borbi protiv kibernetičkog kriminala.

Farel kaže, „Saradnja između timova u ovoj akciji – kombinovanjem napora u oblasti informacija o kibernetičkim pretnjama, zaštite identiteta, istrage, pripisivanja, pravnih postupaka i spoljnih partnerstava – predstavlja model kako bismo trebali da delujemo.“

Srodni članci

Ometanje kibernetičkog kriminala u pružanju usluga

Microsoft, uz podršku koju u vidu informacija o kibernetičkim pretnjama pruža kompanija Arkose Labs, preduzima tehničke i pravne radnje za ometanje vodećeg prodavca i autora lažnih Microsoft naloga, grupe koju nazivamo Storm-1152. Nadgledamo, držimo vas na oku i delovaćemo radi zaštite klijenata.
Saznajte više

Microsoft, Amazon i međunarodni organi za sprovođenje zakona ujedinjuju se u borbi protiv prevara u vezi sa tehničkom podrškom

Pogledajte kako su Microsoft i Amazon po prvi put udružili snage da bi uklonili nezakonite pozivne centre za tehničku podršku širom Indije.
Saznajte više

Šta se dešava unutar borbe protiv hakera koji su poremetili rad bolnica i ugrozili živote

Pogledajte šta se dešava iza kulisa u zajedničkoj operaciji koju sprovode Microsoft, proizvođač softvera Fortra i Health-ISAC kako bi poremetili krekovane Cobalt Strike servere i otežali rad kibernetičkim kriminalcima.
Saznajte više

Pratite Microsoft bezbednost