Trace Id is missing
דלג לתוכן הראשי
Security Insider

פעולה נחרצת נגד הונאות: ההתמודדות עם Storm-1152

שתף
מערך צבעוני של עיגולים עם סמלים שונים.

מבט כולל

במרץ 2023, לקוח גדול של Microsoft עבר סדרת מתקפות ספאם בסייבר, שגרמו להשבתות במערכת של הלקוח.

ומה גרם לכל זה? מבול של חשבונות Microsoft Outlook ו- Hotmail שנוצרו במרמה במטרה ליהנות מהיתרונות של שירותי הלקוח שניתנו כגירסאות ניסיון למשתמשים פוטנציאליים, למרות שלחשבונות מזויפים אלה לא הייתה מטרה לשלם אי-פעם על שירותים אלה. כתוצאה מכך, הלקוח חסם את האפשרות להרשמה חדשה של חשבונות מכתובות Microsoft Outlook ו- Hotmail.

למעשה, מאחורי מתקפה זו עמד ארגון הונאה גדול יותר הממוקם בווייטנאם – קבוצה ש- Microsoft מכנה Storm-1152.

Storm-1152 הפעילה אתרי אינטרנט ודפי מדיה חברתית בלתי חוקיים, מוכרת חשבונות וכלים מזויפים של Microsoft כדי לעקוף תוכנות אימות זהות בין פלטפורמות טכנולוגיה מוכרות היטב. שירותי Storm-1152 פועלים כשער לפשע סייבר על-ידי הפחתת הזמן והמאמץ הנדרשים לפושעים כדי לבצע מספר רב של התנהגויות נפשעות ומזיקות באינטרנט. בסך הכל, יצרה בערך 750 מיליון חשבונות Microsoft מזויפים למכירה, מה שהביא לקבוצה רווח של מיליוני דולרים בהכנסה בלתי חוקית, ועלה ל- Microsoft ולחברות אחרות סכומים אף גדולים מזה במאבק מול הפעילות הפלילית של הקבוצה.

מתברר שקבוצות רבות השתמשו בחשבונות של Storm-1152 כדי לעסוק בתוכנות כופר ובגניבה וחילוץ של נתונים, כולל​ Octo Tempest‏, Storm-0252, ‏Storm-0455, וקבוצות אחרות. עסק מכירות החשבונות שלה הפך אותה לאחד מהספקים הגדולים ביותר של פשע סייבר כשירות.

Microsoft עוקבת אחר עלייתה של פעילות זדונית זו משנת 2022, ונעזרת באלגוריתמים של למידת מכונה כדי למנוע ולזהות את הדפוסים הנצפים ליצירת חשבונות שקריים אלה. עם זאת, באביב 2023 צוינה נקודת פיתול עקב הניצול הגובר של פלטפורמות של Microsoft ושותפיה. היה צורך לנקוט פעולה אגרסיבית יותר וב- Microsoft גובש צוות חוצה-פונקציות עם שותפינו Arkose Labs.

מיד לאחר הפעולה, הבחנו בירידה של כ- 60% בתעבורת ההרשמה. ירידה זו תואמת במידה רבה את שיעור ההרשמות העומד על 60% או יותר מכך, שהאלגוריתמים או השותפים שלנו זיהו בהמשך כהרשמות זדוניות ואשר הושעו כתוצאה מכך משירותי Microsoft. 

המאמץ המשותף הביא לנקיטת הפעולה הראשונה על-ידי יחידת הפשע הדיגיטלי (DCU)של Microsoftבדצמבר 2023 לתפיסה וסגירה של אתרי האינטרנט שבהם השתמשה Storm-1152 למכירת השירותים שלה. מיד לאחר הפעולה, הבחנו בירידה של כ- 60% בתעבורת ההרשמה. ירידה זו תואמת במידה רבה את שיעור ההרשמות העומד על 60% או יותר מכך, שהאלגוריתמים או השותפים שלנו זיהו בהמשך כהרשמות זדוניות ואשר הושעו כתוצאה מכך משירותי Microsoft. ב- 23 ביולי הגשנו תביעה אזרחית שנייה כדי לעצור את התשתית החדשה שהקבוצה ניסתה להקים לאחר התביעה שהגשנו בדצמבר.

דוח האיומים החדש הזה בוחן מאחורי הקלעים את האופן שבו בוצעה הפעולה ומדגיש את החשיבות של שיתוף פעולה ברחבי התעשייה כדי לתקוף את איומי הסייבר. המקרה הזה מדגיר כיצד המגזר העסקי יכול להשתמש בערוצים משפטיים כדי להרתיע קבוצות אחרות ולהגן על המשתמשים באינטרנט. הוא מדגיש גם את החשיבות של השיבושים הקיימים וכיצד פעולות משפטיות נותרות שיטה יעילה נגד פושעי הסייבר, גם כשהם משנים את הטקטיקות שלהם. בסופו של יום, פעולות הן לא עניין חד פעמי.

החשיפה והזיהוי של קבוצת Storm-1152

בפברואר 2023, מת'יו מסה, חוקר אבטחה בכיר במרכז בינת האיומים של Microsoft ‏(MSTIC) זיהה דפוס הולך וגדל של שימוש בחשבונות Microsoft Outlook בקמפייני דיוג נרחבים. התפקיד של מסה כולל ניתוח של קמפיינים בדוא"ל ואיתור פעילות חשודה. לנוכח העלייה המתמשכת בשימוש בחשבונות מזויפים, הוא שאל את עצמו: 'הייתכן שכל החשבונות האלה קשורים זה לזה?'

הוא יצר מיד פרופיל של גורם איום חדש, Storm-1152, והתחיל לעקוב אחרי הפעילות שלו ודיווח על הממצאים לצוות הזהויות של Microsoft. שיינסה קמבריק, מנהלת מוצר ראשית בצוות ההגנה מפני הונאות וניצול לרעה (Anti-Abuse and Fraud Defense Team) של Microsoft, עקבה גם היא אחרי הפעילות הזדונית הזו והבחינה בעלייה במספר החשבונות האוטומטיים (בוטים) שניסו לצלוח את אתגרי CAPTCHA המשמשים להגן על תהליך ההרשמה לשירותי Microsoft לצרכנים.​

"הצוות שלי מתמקד בחוויית הלקוחות שלנו וכן בחוויה הארגונית, וזה אומר שאנחנו מגנים על מיליארדי חשבונות מדי יום מפני הונאה וניצול לרעה," מסבירה קמבריק. "התפקיד שלנו הוא להבין את השיטות של גורמי האיום כדי לעקוף את המתקפות ולמנוע גישה למערכות שלנו. אנחנו תמיד חושבים על מניעה – כיצד ניתן לעצור את הגורמים הזדוניים בשער."

הנקודה שמשכה את תשומת לבה הייתה רמת ההונאה העולה שקשורה לפעילות. כשמספר גורמים – שותפי Microsoft וכל חלקים בשרשרת האספקה שלנו – פנו כדי לדווח את הנזק שנגרם על-ידי חשבונות Microsoft אלה שנוצרו על-ידי בוטים, קמבריק החלה לפעול.

הצוות של קמבריק, יחד עם ספק ניהול הבוטים והגנת סייבר, Arkose Labs, פעל כדי לזהות ולהשבית את החשבונות המזויפים של הקבוצה, ושיתף את פרטי העבודה שלו עם עמיתים בבינת האיומים בצוות MSTIC של Microsoft וביחידה לחקר בינת איומי הסייבר של Arkose ‏(ACTIR).

"התפקיד שלנו הוא להבין את השיטות של גורמי האיום כדי לעקוף את המתקפות ולמנוע גישה למערכות שלנו. אנחנו תמיד חושבים על מניעה – כיצד ניתן לעצור את הגורמים הזדוניים בשער." 
שיינסה קמבריק 
מנהלת מוצר ראשית בצוות ההגנה מפני הונאות וניצול לרעה (Anti-Abuse and Fraud Defense Team) של Microsoft 

"בהתחלה, התפקיד שלנו היה להגן על Microsoft מיצירת חשבונות זדוניים," מסביר פטריס בופה, מנהל הלקוחות הבכיר ב- Arkose Labs, "אבל אחרי שזיהינו את Storm-1152 כקבוצה, התחלנו גם לאסוף כמות גדולה של בינת איומים."

מהי קבוצת Storm-1152

כקבוצה מתפתחת שפועלת ממניעים פיננסיים, Storm-1152 בלטה כקבוצה מאורגנת ומקצועית במיוחד בהצעות 'פשע סייבר כשירות (CaaS)' שלה. Storm-1152 פעלה כמו חברה מורשית והפעילה את השירות הלא חוקי שלה לפתרון CAPTCHA לאור יום.

"אם לא יודעים שזה ארגון זדוני, היה אפשר להשוות אותו לכל חברת SaaS אחרת," 
פטריס בופה
מנהל לקוחות בכיר, Arkose Labs

"אם לא יודעים שזה ארגון זדוני, היה אפשר להשוות אותו לכל חברת SaaS אחרת," אומר בופה ומוסיף ש- AnyCAPTCHA.com של Storm-1152 היה אתר אינטרנט ציבורי, קיבל תשלומים במטבע דיגיטלי דרך PayPal ואפילו הציע אתר תמיכה.

השירות הזה נעזר בבוטים כדי לקצור כמות גדולה של אסימוני CAPTCHA שנמכרו ללקוחות, שבתורם ניצלו את האסימונים למטרות לא ראויות (למשל, יצירת מספרים גדולים של חשבונות Microsoft מזויפים כדי להשתמש בהם בהמשך למתקפות סייבר) לפני שיפוג תוקפם. הניסיונות לפתוח חשבונות מזויפים בוצעו במהירות ויעילות גבוהות כל כך, שצוות Arkose Labs הסיק שהקבוצה משתמשת בטכנולוגיית למידת מכונה אוטומטית. 

"כשראינו את הקצב של ההסתגלות שלנו לאמצעי הצמצום שנקטנו, הבנו שמספר רב של המתקפות שלהם היו מבוססות על AI," אומר בופה. "בהשוואה ליריבים אחרים שראינו, Storm-1152 השתמשה בבינה מלאכותית בדרכים חדשניות." צוותים של Microsoft ו- Arkose Labs הבחינו בשינוי בטקטיקה עסקית כצורת הסתגלות למאמצים המוגברים לזיהוי ומניעה.

בהתחלה, Storm-1152 התמקדה במתן שירות לפושעים לעקיפת הגנות האבטחה של חברות טכנולוגיה אחרות, ו-​Microsoft​ הייתה הקורבן הגדול ביותר. Storm-1152 הציעה שירותיםלעקיפת​​ הגנות כדי ליצור חשבונות מזויפים, ואז הציעה שירות אחר לאחר שהבחינה בזיהוי. במקום לספק כלים לעקיפת ההגנות ביצירת חשבונות, הקבוצה התחילה להשתמש באסימונים לפתרון CAPTCHA שאספו הבוטים שלה כדי ליצור חשבונות Microsoft מזויפים למכירה.

"מה שראינו אצל Storm-1152 זה טיפוסי," אומר בופה. בכל פעם שתופסים גורם איום, הוא מנסה משהו אחר. כדי להקדים אותם, צריך כל הזמן לשחק 'חתול ועכבר'."

בניית תיק משפטי ל- Storm-1152

כאשר פעילות ההונאה הגיעה לנקודת רתיחה במרץ 2023, קמבריק ומסה יצרו קשר עם היחידה לפשעי מחשב של Microsoft‏ (DCU) כדי לראות מה עוד ניתן לעשות.

ה- DCU, כזרוע האכיפה החיצונית של Microsoft, פועלת בדרך כלל רק כנגד הגורמים העקשניים או הרציניים ביותר. היא מתמקדת בשיבוש – תוך הגדלת העלות של ניהול עסקים – המתבצע בעיקר על-ידי הפניות פליליות ו/או תביעות אזרחיות.

שון פארל, היועץ הבכיר בצוות לאכיפת פשע סייבר ביחידת DCU של Microsoft, ג'ייסון ליונס, מנהל חקירות בכיר בצוות לאכיפת פשע סייבר ב- Microsoft וחוקר הסייבר הבכיר מוריס מייסון שילבו כוחות כדי להמשיך בחקירה. הם תיאמו עם המועצה החיצונית של Microsoft עיצוב אסטרטגיה משפטית ואספו יחד את הראיות הנדרשות להגשת תביעה אזרחית, בשילוב תובנות מצוותים רבים ב- Microsoft ובינת האיומים שנאספה על-ידי Arkose Labs.

"כשיחידת ה- DCU התערבה, כבר נעשה חלק רב מהעבודה," נזכר ליונס. "צוות הזהויות ו- Arkose Labs כבר עשו עבודה רבה בזיהוי והשבתה של חשבונות, ומכיוון שצוותי MSTIC יכלו לקשר את החשבונות המזויפים לרמות מסוימות של תשתית, חשבנו שזה יהיה תיק משפטי טוב עבור ה- DCU."

בין הגורמים שתורמים לבניית תיק ששווה לפעול לגביו הם חוקים שניתן להשתמש בהם בתביעה אזרחית, תחום שיפוט ורצון של החברה לפרסם שמות של אנשים.

ליונס השווה בין השיקול של הגורמים האלה לתהליך מיון, שבו יחידת ה- DCU בחנה את העובדות ואת המידע הנדרשים כדי לקבוע אם היה להם תיק מוצלח. "על סמך הפעילות שלנו, אנחנו שואלים האם אנחנו רוצים להקדיש את הזמן והאנרגיות שלנו לנקיטת פעולה," הוא אומר. "האם ההשפעה תהיה שווה את המשאבים שנצטרך להשקיע?" במקרה הזה, התשובה הייתה 'כן'.

מייסון התבקש לעבוד על הייחוס של פעילויות 'פשע סייבר כשירות' של Storm-1152. "התפקיד שלי היה לעקוב אחר האופן שבו Storm-1152 מכרה את החשבונות המזויפים האלה לקבוצות אחרות של גורמי איום ולזהות את האנשים שעומדים מאחורי Storm-1152", מסביר מייסון.

הודות לעבודת החקירה שנעשתה, שכללה בחינה מעמיקה של דפים ברשתות חברתיות ומזהי תשלום, Microsoft ו- Arkose Labs הצליחו לזהות את האנשים העומדים מאחורי Storm-1152 – ‏Duong Dinh Tu, ‏Linh Van Nguyễn (המכונה גם Nguyễn Van Linh), ו- Tai Van Nguyen.

הממצאים שלהם מראים שאנשים אלה תפעלו וכתבו את הקוד עבור אתרי האינטרנט הבלתי חוקיים, פרסמו הוראות מפורטות לגבי אופן השימוש במוצרים שלהם באמצעות ערכות לימוד בווידאו וסיפקו שירותי צ'אט כדי לסייע לאנשים שמשתמשים בשירותים המזויפים שלהם. לאחר מכן אותרו חיבורים נוספים לתשתית הטכנית של הקבוצה, שם הצוות הצליח להצביע במדויק על מארחים שממוקמים בארצות הברית.

"אחת הסיבות לפעילות הזו שלנו ב- DCU היא עצירת ההשפעה של פושעי הסייבר האלה. אנחנו עושים זאת על-ידי הגשת תביעות משפטיות או שליחת הפניות פליליות שמובילות למעצרים ותביעות פליליות."
שון פארל 
יועץ בכיר בצוות לאכיפת פשע סייבר, Microsoft

פארל ממשיך ומתאר את ההחלטה לפעול בתיק הזה: "כאן הצלחנו בגלל העבודה המצוינת של הצוותים, שזיהו את הגורמים שהקימו את התשתית ואת השירותים הפליליים.

אחת הסיבות לפעילות הזו שלנו ב- DCU היא עצירת ההשפעה של פושעי הסייבר. אנחנו עושים זאת על-ידי הגשת תביעות משפטיות או שליחת הפניות פליליות שמובילות למעצרים ותביעות פליליות. אני חושב שכשמצליחים לזהות את הגורמים ולזהות אותם באופן ציבורי בתביעות משפטיות בארה"ב, זה שולח מסר חזק מאוד."​​

שובה של Storm-1152 ופעולה משפטית שנייה​

למרות שהצוות ראה ירידה מיידית בתשתית לאחר הפעילות שבוצעה בדצמבר 2023 לשיבוש קבוצת Storm-1152, היא חזרה לפעילות והשיקה אתר חדש בשם RockCAPTCHA עם סרטוני הדרכה חדשים כדי לעזור ללקוחות שלהם. RockCAPTCHA תקף את Microsoft בהצעת שירותים שנועדו במיוחד לגבור על אמצעי CAPTCHA לאבטחה של Arkose Labs. הפעולה שבוצעה ביולי אפשרה ל- Microsoft להשתלט על אתר האינטרנט הזה ולהנחית מכה נוספת על הפושעים.

בנוסף, היחידה לחקר בינת איומי הסייבר של Arkose ‏(ACTIR) התבוננה מקרוב במאמצים של Storm-1152 לבנות מחדש את השירותים שלה. היחידה ראתה ש- Storm-1152 נוקטת טקטיקות מתוחכמות יותר, בין היתר הגברת השימוש בבינה מלאכותית (AI) כדי להסוות את הפעילות שלה ולחמוק מזיהוי. התאוששות זו מצביעה על התנודות שמתרחשות בנוף האיומים ומדגימה את היכולות המתקדמות של התוקפים הבקיאים בטכנולוגיות ה- AI. 

אחד האזורים המרכזיים שבהם Storm-1152 שילבה בינה מלאכותית הוא בטכניקות הסוואה. Arkose Labs ראתה שהקבוצה משתמשת בבינה מלאכותית כדי ליצור באופן סינטטי חתימות שדומות לאלה של בני אדם.

ויקאס שטי הוא ראש מחלקת המוצר ב- Arkose Labs ומוביל את יחידת חקר האיומים שלה, ACTIR. "השימוש במודלי AI מאפשר לתוקפים לאמן מערכות שמפיקות חתימות הדומות לאנושיות, שניתן לאחר מכן להשתמש בהן בקנה מידה נרחב למתקפות," אומר שטי. "המורכבות והגיוון של חתימות אלה מקשים על שיטות הזיהוי המסורתיות לעמוד בקצב."

יתר על כן, צוותי Arkose Labs הבחינו בניסיונות של Storm-1152 לגייס ולהעסיק מהנדסי AI, כולל סטודנטים לתואר שני, דוקטורנטים ואפילו פרופסורים במדינות כמו וייטנאם וסין.

"האנשים האלה מקבלים תשלום כדי לפתח מודלי AI מתקדמים שיכולים לעקוף אמצעי אבטחה מתוחכמים. המומחיות של מהנדסי AI אלה מבטיחה שהמודלים יהיו לא רק יעילים, אלא גם יסתגלו לפרוטוקולי האבטחה המתפתחים," אומר שטי.

המפתח לשיבוש משמעותי של פעילות פושעי הסייבר הוא ההתמדה – וכן המעקב אחר האופן שבו פושעי הסייבר פועלים ומשתמשים בטכנולוגיות חדשות.

"עלינו להמשיך להיות עקביים ולנקוט פעולות המקשות על הפושעים להרוויח," אומר פארל. "לכן הגשנו תביעה נוספת כדי להשתלט על התחום החדש הזה. אנחנו חייבים לשלוח מסר ברור שלא נסבול פעילות שמטרתה לפגוע בלקוחות שלנו ובאנשים באינטרנט."

לקחים שהופקו והשלכות לעתיד

במבט על התוצאות של החקירה והשיבוש של פעילות Storm-1152, פארל מציין שהמקרה הזה חשוב לא רק בגלל ההשפעה שלו עלינו ועל החברות האחרות, אלא בגלל המאמץ של Microsoft לצמצם את ההשפעה של פעילות זו, המהווה חלק מהאקוסיסטמה הרחבה של פשע סייבר כשירות.

מסר חזק לציבור

"הדגמנו שאנחנו יכולים ליישם את האמצעים המשפטיים שבהם השתמשנו ביעילות רבה כל כך על מתקפות של תוכנה זדונית ועל פעילות של מדינות לאום. זה הביא לצמצום וריסון משמעותי של פעילות גורם האיום, שירדה כמעט לאפס למשך זמן רב אחרי שהגשנו את התביעה," אומר פארל. "לדעתי, אפשר ללמוד מזה שיכולה להיות הרתעה אמיתית, והמסר שהציבור מקבל הוא חשוב – לא רק מבחינת ההשפעה, אלא לטובת הקהילה הווירטואלית כולה."

וקטורי גישה חדשים בתחום הזהות

נקודה חשובה נוספת היא המעבר הכללי של גורמי איום מפגיעה בנקודות קצה להתמקדות בזהויות.  ברוב מתקפות תוכנת הכופר אנחנו רואים שגורמי האיום ממנפים זהויות שנגנבו או נפגעו כווקטור המתקפה הראשוני.
"המגמה הזו מדגימה כיצד הזהות הולכת לעמוד בראש כווקטור הגישה הראשוני לתקריות עתידיות," אומר מייסון. "כשמדובר ביצירת מודלים עבור ארגונים, מומלץ שמנהלי אבטחת המידע ינקטו גישה רצינית יותר כלפי זהות – בהתחלה חשוב להתמקד יותר בתחום הזהות, ואז לעבור לנקודות הקצה."

החדשנות השוטפת היא חיונית

חזרתה של Storm-1152 והאסטרטגיות שלה שמשלבות AI מדגישות את האופי המתפתח של איומי סייבר. השימוש המתוחכם בבינה מלאכותית גם לצורך הסוואה וגם לפתרון בעיות מציב אתגרים משמעותיים עבור אמצעי האבטחה המסורתיים. הארגונים חייבים להסתגל על-ידי שילוב של טכניקות זיהוי וצמצום מתקדמות המבוססות על AI כדי להישאר צעד אחד לפני איומים אלה.
"הדוגמה של Storm-1152 ממחישה את הצורך החיוני בחדשנות שוטפת באבטחת הסייבר כדי להדוף את הטקטיקות המתוחכמות שמשמות של התוקפים הבקיאים ב- AI," אומר שטי. "כמו שהקבוצות האלה ממשיכות להתפתח, כך צריכות גם ההגנות שנועדו להגן מפניהן."

אנחנו יודעים שבעתיד נמשיך להתמודד עם אתגרי אבטחה חדשים, אבל אנחנו אופטימיים לגבי הלקחים שהפקנו מפעולה זו. כחברי קהילת ההגנה, אנחנו יודעים שאנחנו עובדים טוב יותר יחד לטובת הכלל, ושהמשך שיתוף הפעולה במגזר הציבורי והפרטי נותר הכרחי לנוכח פשע הסייבר.

פארל אומר: "שיתוף הפעולה בין הצוותים בפעולה זו – שילוב המאמצים של בינת איומים, הגנה על זהויות, חקירה, ייחוס, פעולה משפטית ושותפויות חיצוניות – מדגים כיצד עלינו לפעול."

מאמרים קשורים

שיבוש שירותי השער לפשע סייבר

Microsoft, יחד עם תמיכה של בינת איומים מבית Arkose Labs, נוקטת בפעולה טכנית ומשפטית כדי לשבש את המשווק והיוצר המוביל של חשבונות Microsoft מזויפים, קבוצה שנקראת Storm-1152. אנו צופים, שמים לב ונפעל כדי להגן על הלקוחות שלנו.
מידע נוסף

Microsoft, ‏Amazon ורשויות החוק הבינלאומי התאחדו במאבק נגד הונאה של תמיכה טכנית

ראה כיצד Microsoft ו- Amazon שילבו כוחות לראשונה כדי להפיל מרכזי תמיכה טלפוניים לשירות טכני בלתי חוקיים ברחבי הודו.
מידע נוסף

הצצה לתוך המאבק נגד האקרים שמשבשים בתי חולים ומסכנים חיים

לך אל מאחורי הקלעים של פעולה משותפת בין Microsoft, יצרנית התוכנה Forta ו- Health-ISAC כדי לשבש שרתים סדוקים של Cobalt Strike ולהקשות על יכולת הפעולה של פושעי סייבר.
מידע נוסף

עקוב אחר 'האבטחה של Microsoft'