Trace Id is missing

Tindakan tegas terhadap penipuan: Mendisrupsi Storm-1152

Bagikan
Deretan lingkaran berwarna-warni dengan berbagai ikon.

Gambaran umum

Pada Maret 2023, salah satu pelanggan utama Microsoft mengalami serangkaian serangan cyber berupa spam yang menyebabkan gangguan pada sistem pelanggan.

Apa penyebabnya? Beberapa akun Microsoft Outlook dan Hotmail yang dibuat untuk tujuan menipu berusaha meraup keuntungan dari layanan milik pelanggan yang diberikan sebagai uji coba kepada calon pengguna, meskipun akun palsu ini tidak berniat untuk membayar layanan tersebut. Oleh sebab itu, pelanggan memblokir semua pendaftaran akun baru dari alamat Microsoft Outlook dan Hotmail.

Pelaku sebenarnya di balik serangan ini adalah suatu perusahaan penipuan besar yang berlokasi di Vietnam. Microsoft menamai kelompok ini sebagai Storm-1152.

Storm-1152 menjalankan situs web dan halaman media sosial terlarang, menjual akun penipuan Microsoft, dan alat untuk menembus perangkat lunak verifikasi identitas di seluruh platform teknologi ternama. Layanan Storm-1152 bertindak sebagai gateway menuju kejahatan cyber bagi para penjahat karena dapat mengurangi waktu dan upaya yang mereka perlukan dalam melancarkan berbagai tindakan kriminal dan penyalahgunaan secara online. Secara keseluruhan, kelompok ini membuat sekitar 750 juta akun Microsoft palsu untuk dijual, yang menghasilkan pendapatan gelap jutaan dolar. Jumlah tersebut masih lebih sedikit jika dibandingkan biaya yang harus dikeluarkan oleh perusahaan untuk memerangi aktivitas kriminal kelompok tersebut.

Ternyata, terdapat beberapa kelompok yang menggunakan akun Storm-1152 untuk terlibat dalam pencurian data, ransomware, dan pemerasan. Kelompok ini termasuk​​ Octo Tempest, Storm-0252, Storm-0455, dan lainnya. Melalui bisnis penjualan akunnya, Storm-1152 menjadi salah satu penyedia online terbesar dalam kejahatan cyber sebagai layanan.

Microsoft telah melacak peningkatan aktivitas berbahaya ini sejak tahun 2022, yang membuat Microsoft meningkatkan penggunaan algoritma pembelajaran mesin untuk mencegah dan mendeteksi pola yang diamati dalam pembuatan akun-akun palsu ini. Sayangnya, musim semi 2023 menjadi titik balik karena terjadi peningkatan dalam penyalahgunaan platform Microsoft dan mitra. Karena tindakan yang lebih agresif diperlukan, tim lintas fungsional di Microsoft dan mitra kami Arkose Labs dibentuk.

Segera setelah tindakan tersebut, kami melihat penurunan sekitar 60% dalam lalu lintas pendaftaran akun. Penurunan sebesar 60% atau lebih ini hampir sesuai dengan pendaftaran yang kemudian ditentukan oleh algoritma atau mitra kami sebagai penyalahgunaan, yang kemudian kami tangguhkan dari layanan Microsoft. 

Upaya terkoordinasi ini membuat Digital Crimes Unit (DCU) Microsoft mengambil tindakan ​hukum perdana ​pada bulan Desember 2023 untuk menyita dan menutup situs web yang digunakan Storm-1152 untuk menjual layanannya. Segera setelah tindakan tersebut, kami mengamati penurunan sekitar 60% dalam lalu lintas pendaftaran akun. Penurunan sebesar 60% atau lebih ini hampir sesuai dengan pendaftaran yang kemudian ditentukan oleh algoritma atau mitra kami sebagai penyalahgunaan, yang kemudian kami tangguhkan dari layanan Microsoft.​ Pada 23 Juli, kami mengajukan gugatan perdata kedua untuk mendisrupsi infrastruktur baru yang coba didirikan oleh grup tersebut menyusul gugatan hukum kami pada bulan Desember.

Laporan tentang ancaman yang muncul ini mengungkap hal-hal di balik layar terkait bagaimana tindakan dilakukan dan menyoroti pentingnya kolaborasi lintas industri untuk mengatasi ancaman cyber. Kasus ini adalah contoh bagaimana industri dapat menggunakan jalur hukum untuk membantu menghalangi kelompok lain dan menjaga keamanan individu saat online.​ Hal ini juga membahas pentingnya tindakan yang sedang dilakukan dan alasan tindakan hukum tetap menjadi metode yang efektif untuk melawan penjahat cyber, bahkan ketika mereka mengubah taktiknya. Pada akhirnya, tidak ada operasi yang selesai hanya dengan satu tindakan.

Penemuan dan identifikasi Storm-1152

Pada Februari 2023, Matthew Mesa, Senior Security Researcher di Threat Intelligence Center (MSTIC) Microsoft, menemukan adanya peningkatan pola penggunaan akun Microsoft Outlook dalam kampanye pengelabuan massal. Ia memiliki tugas menganalisis kampanye email dan mencari aktivitas yang mencurigakan. Saat ia terus melihat peningkatan dalam penggunaan akun palsu, ia bertanya kepada dirinya sendiri, "Mungkinkah semua akun ini saling terkait?”

Ia segera membuat profil pelaku ancaman baru, yaitu Storm-1152, dan mulai melacak aktivitas mereka serta melaporkan yang ia temukan ke tim Identitas Microsoft. Shinesa Cambric, Principal Product Manager of Anti-Abuse and Fraud Defense Team Microsoft, juga telah melacak aktivitas berbahaya ini dan telah menyadari adanya peningkatan akun otomatis (bot) yang berupaya menaklukkan tantangan CAPTCHA yang digunakan untuk melindungi proses pendaftaran untuk layanan konsumen Microsoft.​​

“Tim saya berfokus pada pengalaman konsumen sekaligus pengalaman perusahaan, yang berarti kami harus melindungi miliaran akun setiap hari dari penipuan dan penyalahgunaan,” jelas Cambric. “Tugas kami adalah memahami metodologi pelaku ancaman sehingga kami dapat menghindari serangan dan mencegah akses ke sistem kami. Kami selalu memikirkan tentang pencegahan, tentang bagaimana kami dapat menghentikan pelaku kejahatan di pintu depan.”

Salah satu yang menarik perhatiannya adalah meningkatnya tingkat penipuan yang berkaitan dengan aktivitas tersebut. Saat beberapa pihak (mitra Microsoft serta bagian dari rantai pasokan kami) menghubungi kami untuk melaporkan kerugian yang diakibatkan oleh akun Microsoft yang dibuat oleh bot ini, Cambric langsung mengambil tindakan.

Bekerja sama dengan Arkose Labs (penyedia pertahanan keamanan cyber dan manajemen bot), tim Cambric berupaya mengidentifikasi dan menonaktifkan akun-akun penipuan milik kelompok tersebut, dan membagikan detail pekerjaan mereka dengan kolega inteligensi ancaman di MSTIC Microsoft dan unit Arkose Cyber Threat Intelligence Research (ACTIR).

“Tugas kami adalah memahami metodologi pelaku ancaman sehingga kami dapat menghindari serangan dan mencegah akses ke sistem kami. Kami selalu memikirkan tentang pencegahan, tentang bagaimana kami dapat menghentikan pelaku kejahatan di pintu depan.” 
Shinesa Cambric 
Principal Product Manager, Anti-Abuse and Fraud Defense Team, Microsoft 

“Awalnya, tugas kami adalah melindungi Microsoft dari pembuatan akun berbahaya,” jelas Patrice Boffa, Chief Customer Officer Arkose Labs, “Namun, setelah Storm-1152 diidentifikasi sebagai sebuah kelompok, kami juga mulai mengumpulkan banyak inteligensi ancaman.”

Memahami Storm-1152

Sebagai kelompok pengembangan bermotif uang, Storm-1152 berhasil menarik perhatian karena mereka sangat terorganisasi dengan baik dan profesional saat menawarkan kejahatan cyber sebagai layanan (CaaS) mereka. Beroperasi seperti perusahaan yang sah, Storm-1152 menjalankan layanan penyelesaian CAPTCHA terlarang pada siang hari.

“Jika tidak menyadari bahwa organisasi ini berbahaya, Anda dapat membandingkannya dengan perusahaan SaaS lainnya,” 
Patrice Boffa
Chief Customer Officer, Arkose Labs

“Jika tidak menyadari bahwa organisasi ini berbahaya, Anda dapat membandingkannya dengan perusahaan SaaS lainnya,” kata Boffa, sambil menambahkan bahwa AnyCAPTCHA.com milik Storm-1152 memiliki situs web yang dapat diakses publik, menerima pembayaran mata uang kripto melalui PayPal, dan bahkan menawarkan saluran dukungan.

Layanan ini menggunakan bot untuk memperoleh token CAPTCHA secara massal yang akan dijual ke pelanggan, yang nantinya digunakan untuk tujuan yang tidak benar (seperti pembuatan akun Microsoft palsu secara massal untuk digunakan nantinya dalam serangan cyber) sebelum token kedaluwarsa. Upaya pembuatan akun palsu berlangsung sangat cepat dan efisien. Dari hal tersebut, tim Arkose Labs menyimpulkan bahwa kelompok tersebut menggunakan teknologi pembelajaran mesin otomatis. 

“Setelah mengamati kecepatan adaptasi mereka terhadap upaya mitigasi kami, kami menyadari bahwa banyak serangan mereka berbasis AI,” kata Boffa. “Dibandingkan dengan penjahat sebelumnya, Storm-1152 memanfaatkan AI dengan cara yang inovatif.” Tim Arkose Labs dan Microsoft berhasil mengamati adanya perubahan dalam taktik bisnis sebagai cara beradaptasi dengan peningkatan upaya deteksi dan pencegahan.

Awalnya, Storm-1152 berfokus pada penyediaan layanan bagi penjahat untuk menerobos pertahanan keamanan perusahaan teknologi lain, dengan ​​Microsoft​ menjadi korban terbesar. Storm-1152 sebelumnya menawarkan layanan untukmenerobos​​ pertahanan untuk membuat akun palsu, kini mereka menawarkan layanan baru setelah menyadari bahwa mereka sudah terdeteksi. Alih-alih menyediakan alat untuk menembus pertahanan pembuatan akun, kelompok itu beralih menggunakan token penakluk CAPTCHA yang diperoleh oleh bot milik mereka untuk membuat akun Microsoft palsu untuk dijual kembali.

“Langkah yang dilakukan oleh Storm-1152 adalah hal yang umum,” kata Boffa. Setiap kali Anda menangkap pelaku ancaman, mereka akan mencoba sesuatu yang lain. Memerangi pelaku ancaman itu seperti permainan kejar-kejaran.”

Menyusun kasus hukum terhadap Storm-1152

Saat aktivitas penipuan mencapai titik puncak pada Maret 2023, Cambric dan Mesa melibatkan Digital Crimes Unit (DCU) Microsoft untuk melihat apa lagi yang bisa dilakukan.

Sebagai lembaga penegakan hukum eksternal Microsoft, DCU biasanya hanya mengejar pelaku yang paling serius atau gigih. Unit tersebut berfokus pada disrupsi (yang meningkatkan biaya menjalankan bisnis) yang alat utamanya adalah rujukan pidana dan/atau tuntutan hukum perdata.

Sean Farrell (Lead Counsel for the Cybercrime Enforcement team di DCU Microsoft), Jason Lyons (Principal Manager of Investigations pada DCU Cybercrime Enforcement Team di Microsoft), dan Maurice Mason (Senior Cyber Investigator) bersatu untuk melakukan investigasi lebih lanjut. Mereka berkoordinasi dengan penasihat hukum eksternal Microsoft untuk merancang strategi hukum dan mengumpulkan bukti yang diperlukan untuk mengajukan gugatan perdata, dengan memanfaatkan wawasan dari berbagai tim di Microsoft dan inteligensi ancaman yang dikumpulkan Arkose Labs.

“Banyak pekerjaan telah dilakukan pada saat DCU terlibat,” kenang Lyons. “Tim Identitas dan Arkose Labs telah melakukan pekerjaan yang signifikan dalam mengidentifikasi dan menonaktifkan akun, dan karena MSTIC mampu menghubungkan akun palsu ke tingkat infrastruktur tertentu, kami pikir ini akan menjadi kasus hukum DCU yang bagus.”

Beberapa faktor yang berkontribusi terhadap pembentukan suatu kasus yang layak untuk diperjuangkan termasuk memiliki undang-undang yang dapat digunakan dalam gugatan perdata, memiliki yurisdiksi, dan kemauan perusahaan untuk menyebutkan nama individu secara publik.

Lyons menyamakan pertimbangan faktor-faktor ini dengan proses triase, dengan DCU memeriksa fakta dan informasi untuk membantu menentukan apakah semuanya akan menjadi kasus yang bagus. “Berdasarkan apa yang telah dilakukan, kami bertanya apakah kami ingin menghabiskan waktu dan energi untuk mengambil tindakan,” katanya. “Apakah dampaknya sepadan dengan sumber daya yang kita investasikan untuk hal ini?” Untuk kasus ini, jawabannya adalah ya.

Mason diberi tugas untuk bekerja pada atribusi aktivitas kejahatan cyber sebagai layanan dari Storm-1152. “Saya bertugas melacak bagaimana Storm-1152 menjual akun-akun palsu ini ke kelompok pelaku ancaman lainnya dan mengidentifikasi individu-individu di balik Storm-1152,” jelas Mason.

Melalui investigasi yang mereka kerjakan, yang mencakup peninjauan mendalam terhadap halaman media sosial dan pengenal pembayaran, Microsoft dan Arkose Labs dapat mengidentifikasi individu di balik Storm-1152: Duong Dinh Tu, Linh Van Nguyễn (juga dikenal sebagai Nguyễn Van Linh), dan Tai Van Nguyen.

Temuan mereka menunjukkan bahwa individu ini beroperasi dan menulis kode untuk situs web terlarang, menerbitkan instruksi langkah demi langkah mendetail tentang cara menggunakan produk mereka lewat tutorial video, dan menyediakan layanan obrolan untuk membantu orang yang menggunakan layanan penipuan mereka. Koneksi tambahan kemudian dibuat ke infrastruktur teknis milik kelompok, yang dapat membuat tim mengarahkan ke host yang berbasis di AS.

“Salah satu alasan kami melakukan tindakan ini di DCU adalah untuk mencegah dampak dari para pelaku kejahatan cyber ini. Kami melakukannya dengan mengajukan tuntutan hukum atau memberikan rujukan pidana yang mengarah pada penangkapan dan penuntutan.”
Sean Farrell 
Lead Counsel, Cybercrime Enforcement Team; Microsoft

Saat menjelaskan keputusan untuk melanjutkan kasus ini, Farrell berkata, “Di sini kami beruntung, karena kerja keras tim telah berhasil mengidentifikasi pelaku yang telah menyiapkan infrastruktur dan layanan kriminal.

Salah satu alasan kami melakukan tindakan ini di DCU adalah untuk mencegah dampak dari para pelaku kejahatan cyber ini. Kami melakukannya dengan mengajukan tuntutan hukum atau memberikan rujukan pidana yang mengarah pada penangkapan dan penuntutan. Saya rasa hal ini meninggalkan pesan yang sangat kuat saat Anda mampu mengidentifikasi para pelaku dan mengidentifikasi mereka secara publik dalam pembelaan hukum di Amerika Serikat.”​​​

Kemunculan kembali Storm-1152 dan tindakan hukum kedua​

Meskipun tim mengamati adanya penurunan langsung dalam infrastruktur sejak disrupsi Desember 2023, Storm-1152 muncul kembali dengan meluncurkan situs baru bernama RockCAPTCHA dan video petunjuk baru untuk membantu pelanggan mereka. RockCAPTCHA menargetkan Microsoft dengan menawarkan layanan yang didesain khusus untuk mencoba menaklukkan langkah keamanan CAPTCHA dari Arkose Labs. Tindakan pada bulan Juli memungkinkan Microsoft untuk mengambil alih situs web ini dan memberi kekalahan lainnya kepada para pelaku.

Unit Arkose Cyber Threat Intelligence Research (ACTIR) juga mengamati lebih dekat bagaimana Storm-1152 berupaya membangun kembali layanan mereka. Mereka menemukan bahwa kelompok tersebut menggunakan taktik yang lebih canggih, termasuk meningkatkan pemanfaatan kecerdasan buatan (AI), untuk mengaburkan aktivitas mereka serta menghindari deteksi. Kemunculan kembali ini merupakan indikasi adanya pergeseran dalam lanskap ancaman dan menunjukkan kemampuan canggih penyerang yang kini menguasai teknologi AI. 

Salah satu area utama tempat Storm-1152 mengintegrasikan AI adalah dalam teknik penghindaran. Arkose Labs telah mengamati bahwa kelompok ini menggunakan AI untuk menghasilkan tanda tangan mirip buatan manusia secara sintetis.

Vikas Shetty adalah kepala produk di Arkose Labs dan memimpin unit penelitian ancaman, ACTIR. “Penggunaan model AI memungkinkan penyerang melatih sistem yang menghasilkan tanda tangan yang mirip buatan manusia, yang nantinya dapat digunakan dalam skala besar untuk melakukan serangan,” kata Shetty. “Kompleksitas dan keragaman tanda tangan ini membuat metode deteksi tradisional sulit untuk mengimbanginya.”

Selain itu, Arkose Labs menemukan bahwa Storm-1152 berupaya merekrut dan mempekerjakan teknisi AI, termasuk mahasiswa magister, kandidat doktor, dan bahkan profesor di negara-negara seperti Vietnam dan Tiongkok.

“Orang-orang ini dibayar untuk mengembangkan model AI tingkat lanjut yang dapat menembus langkah-langkah keamanan yang canggih. Berkat keahlian para insinyur AI ini, model tersebut tidak hanya efektif, tetapi juga dapat beradaptasi dengan protokol keamanan yang terus berkembang,” kata Shetty.

Kegigihan adalah kunci untuk mendisrupsi operasi penjahat cyber secara signifikan, seperti saat melacak cara penjahat cyber beroperasi dan menggunakan teknologi baru.

“Kita harus tetap gigih dan mengambil tindakan yang mempersulit para penjahat untuk menghasilkan uang,” kata Farrell. “Itulah sebabnya kami mengajukan gugatan kedua untuk mengambil alih domain baru ini. Kami perlu membuat mereka tahu bahwa kami tidak akan menoleransi aktivitas yang berupaya merugikan pelanggan dan individu kami secara online.”

Pelajaran yang didapat dan implikasi di masa mendatang

Berkaca pada hasil investigasi dan disrupsi Storm-1152, Farrell menekankan bahwa kasus ini penting bukan hanya karena dampaknya terhadap kami dan perusahaan lain, tetapi juga karena Microsoft berupaya untuk mengurangi dampak operasi ini, yang merupakan bagian dari ekosistem kejahatan cyber sebagai layanan secara keseluruhan.

Pesan yang kuat untuk masyarakat

"Menunjukkan bahwa kami dapat menerapkan cara hukum yang selama ini kami gunakan secara efektif terhadap serangan program jahat dan operasi negara-bangsa telah menghasilkan mitigasi atau remediasi yang signifikan terhadap aktivitas pelaku, yang telah menurun drastis hingga hampir nol selama beberapa waktu setelah kami mengajukan gugatan," kata Farrell. “Menurut saya, dari sini kita melihat bahwa pencegahan yang nyata dapat dilakukan, dan pelajaran yang dapat diambil oleh masyarakat dari hal ini sangatlah penting, bukan hanya karena dampaknya, tetapi juga demi kebaikan untuk komunitas online.”

Vektor akses baru dalam identitas

Pengamatan penting lainnya adalah bahwa pelaku ancaman pada umumnya telah beralih dari mencoba menyusupi titik akhir menjadi cenderung mengincar identitas.  Kami melihat pada sebagian besar serangan ransomware bahwa pelaku ancaman memanfaatkan Identitas yang dicuri atau disusupi sebagai vektor serangan awal mereka.
“Tren ini menunjukkan bagaimana identitas akan menjadi vektor akses awal untuk insiden di masa mendatang,” kata Mason. “CISO mungkin ingin mengambil sikap yang lebih serius terhadap identitas saat membuat model untuk organisasi, dengan lebih berfokus pada sisi identitas terlebih dahulu, baru beralih ke titik akhir.”

Inovasi berkelanjutan sangatlah penting

Kemunculan kembali Storm-1152 dan strategi penggunaan AI mereka menekankan sifat ancaman cyber yang terus berkembang. Penggunaan AI yang canggih untuk menghindari dan menyelesaikan tantangan juga menimbulkan tantangan signifikan terhadap langkah-langkah keamanan tradisional. Organisasi harus beradaptasi dengan menggabungkan teknik deteksi dan mitigasi canggih berbasis AI agar dapat mengalahkan ancaman ini.
“Kasus Storm-1152 menyoroti kebutuhan penting akan inovasi berkelanjutan dalam keamanan cyber untuk melawan taktik canggih yang digunakan oleh penyerang yang ahli dalam AI,” kata Shetty. “Seiring dengan terus berkembangnya kelompok-kelompok ini, maka pertahanan yang dirancang untuk melindungi diri dari mereka juga harus terus berkembang.”

Kami paham bahwa kami akan terus menghadapi tantangan keamanan baru di masa mendatang, tetapi kami optimis dengan apa yang telah kami pelajari dari tindakan ini. Sebagai anggota komunitas staf keamanan, kami tahu bahwa kolaborasi diperlukan demi hasil yang lebih baik dan kebaikan bersama. Selain itu, kolaborasi sektor publik dan swasta yang berkelanjutan tetap penting dalam menghadapi kejahatan cyber.

Farrell berkata, “Kolaborasi lintas tim dalam tindakan ini, yang menggabungkan upaya inteligensi ancaman, perlindungan identitas, investigasi, atribusi, tindakan hukum, dan kemitraan eksternal, menjadi model terkait bagaimana kita seharusnya beroperasi.”

Artikel terkait

Mendisrupsi layanan gateway kejahatan cyber

Microsoft, dengan layanan inteligensi ancaman dari Arkose Lab, mengambil tindakan teknis dan hukum untuk mendisrupsi kreator dan penjual akun penipuan Microsoft nomor satu, sebuah kelompok yang kami sebut sebagai Storm-1152. Kami mengawasi, memerhatikan, dan akan bertindak untuk melindungi pelanggan kami.
Pelajari selengkapnya

Microsoft, Amazon, dan penegak hukum internasional bergabung untuk memerangi penipuan layanan teknis

Lihat bagaimana Microsoft dan Amazon bekerja sama untuk pertama kalinya dalam rangka memberantas pusat panggilan layanan teknis ilegal di seluruh India.
Pelajari selengkapnya

Proses melawan peretas yang mendisrupsi rumah sakit dan membahayakan nyawa

Ketahui kisah di balik operasi gabungan Microsoft, pembuat perangkat lunak Fortra, dan Health-ISAC, dalam rangka menghancurkan server Cobalt Strike yang telah di-crack yang membuat penjahat cyber kesulitan untuk beroperasi.
Pelajari selengkapnya

Ikuti Microsoft Security