Ngăn chặn các dịch vụ tiếp tay cho tội phạm mạng

Storm-1152 đóng vai trò quan trọng trong hệ sinh thái tội phạm mạng dưới dạng dịch vụ có tính chuyên môn hóa cao. Kẻ phạm tội trên mạng cần tài khoản gian lận để hỗ trợ cho hoạt động tội phạm phần lớn được tự động hóa của chúng. Trong bối cảnh các công ty có thể nhanh chóng xác định và vô hiệu hóa tài khoản gian lận, kẻ phạm tội cần số lượng tài khoản lớn hơn để né tránh nỗ lực giảm thiểu rủi ro. Thay vì dành thời gian cố gắng tạo hàng nghìn tài khoản gian lận, kẻ phạm tội trên mạng chỉ cần mua các tài khoản này từ Storm-1152 và các nhóm khác. Nhờ vậy, chúng có thể tập trung công sức vào mục tiêu cuối cùng là lừa đảo qua mạng, gửi thư rác, phát tán mã độc tống tiền cũng như các hình thức gian lận và lạm dụng khác. Storm-1152 và các nhóm tương tự tiếp tay cho nhiều kẻ phạm tội trên mạng thực hiện hoạt động gây hại một cách hiệu quả hơn.

Microsoft Threat Intelligence đã xác định nhiều nhóm tham gia phát tán mã độc tống tiền, lấy cắp dữ liệu và tống tiền từng sử dụng tài khoản của Storm-1152. Ví dụ: Octo Tempest, còn được gọi là Scattered Spider, đã có được tài khoản Microsoft gian lận từ Storm-1152. Octo Tempest là một nhóm tội phạm mạng hoạt động vì động cơ tài chính, tận dụng các chiến dịch kỹ thuật xã hội trên phạm vi rộng để xâm phạm các tổ chức trên toàn cầu với mục tiêu tống tiền. Microsoft tiếp tục theo dõi nhiều tác nhân đe dọa khác liên quan đến tống tiền hoặc mã độc tống tiền đã mua tài khoản gian lận từ Storm-1152 để tăng cường cho cuộc tấn công, bao gồm cả Storm-0252 và Storm-0455.

Vào thứ Năm, ngày 7 tháng 12, Microsoft đã nhận được án lệnh từ Quận phía Nam New York về việc tịch thu hạ tầng đặt tại Hoa Kỳ và gỡ khỏi Internet các website mà Storm-1152 đã sử dụng để gây hại cho khách hàng của Microsoft. Mặc dù vụ việc của chúng tôi tập trung vào các tài khoản Microsoft gian lận, nhưng các website bị gỡ này cũng bán dịch vụ hỗ trợ vượt qua các biện pháp bảo mật trên những nền tảng công nghệ nổi tiếng khác. Do đó, hành động hiện nay có tác động rộng hơn, mang lại lợi ích cho cả người dùng ở ngoài Microsoft. Cụ thể, Bộ phận Chống tội phạm số của Microsoft đã ngăn chặn:

Microsoft cam kết cung cấp trải nghiệm kỹ thuật số an toàn cho mọi cá nhân và tổ chức trên hành tinh. Chúng tôi hợp tác chặt chẽ với Arkose Labs để triển khai giải pháp bảo vệ CAPTCHA thế hệ tiếp theo. Giải pháp này yêu cầu tất cả những người muốn mở tài khoản Microsoft để trở thành người dùng phải thể hiện rằng họ là con người (không phải bot) và xác minh tính chính xác của việc thể hiện đó bằng cách giải quyết nhiều loại thử thách khác nhau.

Với tư cách là nhà sáng lập kiêm Giám đốc Điều hành của Arkose Labs, Kevin Gosschalk cho biết: “Storm-1152 là một kẻ thù đáng gờm được thành lập với mục đích duy nhất là kiếm tiền bằng cách tiếp tay cho kẻ xấu thực hiện các cuộc tấn công phức tạp. Điểm khác biệt của nhóm này là chúng đã xây dựng hoạt động làm ăn dựa trên CaaS của mình một cách công khai chứ không phải trên web tối. Storm-1152 hoạt động như một doanh nghiệp trên internet điển hình, cung cấp dịch vụ đào tạo về các công cụ của mình và còn cung cấp dịch vụ hỗ trợ khách hàng đầy đủ. Thực tế, Storm-1152 là băng nhóm tiếp tay đắc lực cho hành vi gian lận nghiêm trọng.”

Hoạt động của Storm-1152 không chỉ vi phạm điều khoản dịch vụ của Microsoft do bán tài khoản gian lận mà còn cố tình tìm cách làm hại khách hàng của Arkose Labs và lừa dối nạn nhân khi giả vờ là người dùng hợp pháp nhằm cố gắng vượt qua các biện pháp bảo mật.

Phân tích của chúng tôi về hoạt động của Storm-1152 bao gồm việc phát hiện, phân tích, đo từ xa, mua thử nghiệm bí mật và kỹ thuật đảo ngược để xác định hạ tầng độc hại được đặt tại Hoa Kỳ. Microsoft Threat Intelligence và bộ phận Nghiên cứu Thông tin về mối đe dọa trên mạng của Arkose (ACTIR) đã cung cấp dữ liệu và thông tin chuyên sâu bổ sung để củng cố vụ kiện pháp lý của chúng tôi.

Trong cuộc điều tra, chúng tôi đã có thể xác nhận danh tính của các đối tượng cầm đầu hoạt động của Storm-1152 – Dương Đình Tú, Nguyễn Văn Linh và Nguyễn Văn Tài – sống tại Việt Nam. Phát hiện của chúng tôi cho thấy những cá nhân này đã vận hành và lập trình các website bất hợp pháp, công bố hướng dẫn từng bước chi tiết về cách sử dụng sản phẩm thông qua video hướng dẫn và cung cấp dịch vụ trò chuyện để hỗ trợ những người sử dụng dịch vụ gian lận của chúng.

Sau đó, Microsoft đã gửi đề nghị truy tố hình sự tới cơ quan thực thi pháp luật Hoa Kỳ. Chúng tôi rất trân trọng sự hợp tác giữa Microsoft và cơ quan thực thi pháp luật, những người có thể đưa kẻ muốn làm hại khách hàng của chúng tôi ra trước công lý.
 

Hành động hiện nay tiếp nối chiến lược của Microsoft trong việc nhắm đến hệ sinh thái tội phạm mạng rộng lớn hơn, cũng như nhắm đến các công cụ mà kẻ phạm tội trên mạng sử dụng để khởi động các cuộc tấn công. Chiến lược này được xây dựng dựa trên việc chúng tôi mở rộng một phương pháp hợp pháp từng được sử dụng thành công trong việc ngăn chặn các hoạt động của phần mềm xấu và do nhà nước đứng sau. Chúng tôi cũng đã hợp tác với các tổ chức khác trong toàn ngành để tăng cường việc chia sẻ thông tin về gian lận, đồng thời nâng cao hơn nữa các thuật toán máy học và trí tuệ nhân tạo của mình nhằm nhanh chóng phát hiện và gắn cờ các tài khoản gian lận.

Như chúng tôi đã đề cập trước đây, không thể hoàn thành việc ngăn chặn trong ngày một, ngày hai. Việc truy tìm tội phạm mạng đòi hỏi sự kiên trì và cảnh giác liên tục để ngăn chặn hạ tầng độc hại mới. Mặc dù hành động pháp lý hiện nay sẽ ảnh hưởng đến hoạt động của Storm-1152, song chúng tôi cũng dự kiến rằng điều này sẽ khiến các tác nhân đe dọa khác điều chỉnh kỹ thuật. Sự hợp tác liên tục giữa khu vực công và tư, như giữa Arkose Labs và cơ quan thực thi pháp luật Hoa Kỳ hiện nay, vẫn rất cần thiết nếu chúng ta muốn thực sự giảm thiểu tác động của tội phạm mạng.