Trace Id is missing

En djärv åtgärd mot bedrägeri: Störa Storm-1152

Dela
En färgglad matris av cirklar med olika ikoner.

Översikt

I mars 2023 drabbades en stor Microsoft-kund av en serie cyberattacker med spam som orsakade avbrott i kundens system.

Och vad var orsaken? En störtflod av nyskapade falska Microsoft Outlook- och Hotmail-konton som försöker utnyttja de kundtjänstfunktioner som erbjuds på prov till potentiella användare, även om dessa falska konton aldrig haft för avsikt att någonsin betala för dessa tjänster. Som ett resultat av detta blockerade kunden alla nya kontoregistreringar från Microsoft Outlook- och Hotmail-adresser.

Vad som faktiskt låg bakom denna attack var ett större bedrägeriföretag baserat i Vietnam – en grupp som Microsoft kallar Storm-1152.

Storm-1152 har drivit olagliga webbplatser och sidor i sociala medier, där de säljer falska Microsoft-konton och verktyg för att överlista identitetsverifieringsprogram på de mest kända teknikplattformarna. Storm-1152:s tjänster fungerar som en gateway för cyberbrottslighet genom att reducera den tid och ansträngning det krävs för brottslingarna att begå sina brottsliga gärningar och överträdelser online. Totalt har gruppen skapat och sålt ungefär 750 miljoner falska Microsoft-konton och tagit in miljontals dollar i olovliga intäkter, vilket har kostat företag ännu mer i arbetet med att motverka denna kriminella aktivitet.

Det visade sig att flera grupper använde Storm-1152-konton för att ägna sig åt utpressningstrojaner, datastöld och utpressning, däribland​​ Octo Tempest, Storm-0252, Storm-0455 och andra. Dess kontoförsäljningsverksamhet gjorde gruppen till en av de största leverantörerna av cyberbrottslighet som en tjänst online.

Microsoft har följt ökningen av denna skadliga aktivitet sedan 2022, och har ökat användningen av maskininlärningsalgoritmer för att upptäcka och förhindra observerade mönster i hur dessa falska konton skapas. Våren 2023 nåddes dock en brytpunkt på grund av det eskalerande missbruket av Microsoft- och partnerplattformar. Mer aggressiva åtgärder krävdes och ett tvärfunktionellt team som omfattade hela Microsoft och vår partner Arkose Labs bildades.

Omedelbart efter det att den här åtgärden hade vidtagits kunde vi notera en minskning på ungefär 60 % av registreringstrafiken. Denna minskning matchar nära de 60 % eller mer av de registreringar som våra algoritmer eller partners senare identifierade som missbruk och som vi därefter stängde av från Microsofts tjänster. 

Den samordnade insatsen resulterade i att Microsofts Digital Crimes Unit (DCU) kunde vidta ​den förstarättsliga åtgärden i december 2023 för att beslagta och stänga de webbplatser som Storm-1152 använde för att sälja sina tjänster. Omedelbart efter det att den här åtgärden hade vidtagits kunde vi notera en minskning på ungefär 60 % av registreringstrafiken. Denna minskning matchar nära de 60 % eller mer av de registreringar som våra algoritmer eller partners senare identifierade som missbruk och som vi därefter stängde av från Microsofts tjänster.​ Den 23 juli väckte vi en andra civilrättslig talan i syfte att störa den nya infrastruktur som gruppen hade försökt upprätta efter vår process i december.

Den här hotrapporten går bakom kulisserna och visar hur åtgärden genomfördes och belyser vikten av att vi samarbetar inom branschen för att stävja cyberhoten. Det här fallet är ett exempel på hur branschen kan använda juridiska kanaler för att avskräcka andra kriminella grupper och därigenom skydda användarna online.​ Rapporten talar också om vikten av pågående störningsåtgärder och om hur rättsliga åtgärder förblir en effektiv metod mot cyberbrottslingarna, även när de ändrar sin taktik. När allt kommer omkring, så är aldrig någon åtgärd helt i hamn.

Upptäckten och identifieringen av Storm-1152

I februari 2023 observerade Matthew Mesa, senior säkerhetsforskare vid Microsofts Threat Intelligence Center (MSTIC), ett tilltagande mönster där Microsoft Outlook-konton användes i massnätfiskekampanjer. I Mesas roll ingår att analysera e-postkampanjer och leta efter misstänkta aktiviteter. När han fortsatte att se att användningen av falska konton ökade, så frågade han sig själv: ”Kan alla dessa konton vara relaterade till varandra?”

Han skapade omedelbart en ny hotaktörsprofil, Storm-1152, och började spåra dess aktivitet och flaggade sina upptäckter till Microsofts identitetsteam. Shinesa Cambric, huvudproduktchef för Microsofts Anti-Abuse and Fraud Defense Team, hade också följt denna skadliga aktivitet och hade noterat en ökning av antalet automatiserade konton (robotkonton) som försökte överlista de CAPTCHA-utmaningar som används som en extra säkerhet under registreringsprocessen för Microsofts konsumenttjänster.​​

”Mitt team fokuserar på såväl konsumenternas upplevelse som på vårt eget företagsperspektiv, vilket innebär att vi skyddar miljarder konton varje dag från bedrägerier och missbruk”, förklarar Cambric. ”Vår roll är att förstå hotaktörernas metoder, så att vi kan kringgå deras attacker och förhindra åtkomst till våra system. Vi tänker alltid på förebyggande åtgärder – på hur vi kan stoppa hotaktörer vid ytterdörren.”

Det som fångade hennes uppmärksamhet var den växande nivån av bedrägerier i samband med aktiviteten. När flera parter – Microsoft-partner såväl som delar av vår försörjningskedja – började rapportera om de skador som dessa robotskapade Microsoft-konton orsakade, så skred Cambric till handling.

Tillsammans med cybersäkerhetsförsvaret och robothanteringsleverantören Arkose Labs arbetade Cambrics team med att identifiera och inaktivera gruppens falska konton, och delade detaljer om deras arbete med hotinformationskollegor i Microsofts MSTIC och Arkose Cyber Threat Intelligence Research-enheten (ACTIR).

”Vår roll är att förstå hotaktörernas metoder, så att vi kan kringgå deras attacker och förhindra åtkomst till våra system. Vi tänker alltid på förebyggande åtgärder – på hur vi kan stoppa hotaktörer vid ytterdörren.” 
Shinesa Cambric 
Principal Product Manager, Anti-Abuse and Fraud Defense Team, Microsoft 

”Inledningsvis var vår roll att skydda Microsoft genom att stoppa skapandet av skadliga konton”, förklarar Patrice Boffa, Arkose Labs Chief Customer Officer. "Men när Storm-1152 identifierades som en grupp började vi också samla in en stor del av hotinformationen.”

Förstå Storm-1152

Storm-1152 var en ekonomiskt motiverad grupp under utveckling som stod ut som ovanligt välorganiserad och professionell med sina erbjudanden om cyberbrottslighet som en tjänst (CaaS). Storm-1152 fungerade som ett legitimt företag och körde sin illegala CAPTCHA-lösningstjänst mitt på ljusa dagen.

”Om du inte var medveten om att detta var en skadlig verksamhet, såg den ut precis som vilket annat SaaS-företag som helst,” 
Patrice Boffa
Chief Customer Officer, Arkose Labs

”Om du inte var medveten om att detta var en skadlig verksamhet, såg den ut precis som vilket annat SaaS-företag som helst”, säger Boffa, och tillägger att Storm-1152:s AnyCAPTCHA.com hade en offentlig webbplats, accepterade betalningar i kryptovaluta via PayPal och till och med erbjöd en supportkanal.

Den här tjänsten använde robotar för att införskaffa CAPTCHA-token i stora mängder, vilka de sålde till kunder, som sedan använde dessa token i skadliga syften (t.ex. skapande av massor av falska Microsoft-konton, som senare kunde användas i cyberattacker) innan de upphörde att gälla. Försöken att skapa falska konton skedde med sådan snabbhet och effektivitet att Arkose Labs-teamet drog slutsatsen att gruppen använde automatiserad maskininlärningsteknik. 

”När vi såg hur snabbt de anpassade sig till våra begränsningsåtgärder, insåg vi att många av deras attacker var AI-baserade”, sade Boffa. ”Jämfört med andra cyberbrottslingar använde Storm-1152 AI på innovativa sätt.” Arkose Labs och Microsofts team kunde observera en förändring i affärstaktiken som ett sätt att anpassa sig till de tilltagande identifieringsåtgärderna och förebyggande insatserna.

Inledningsvis fokuserade Storm-1152 på att tillhandahålla tjänster för brottslingar som gjorde det möjligt för dem att kringgå andra teknikföretags säkerhetsförsvar, där ​​Microsoft​ var det största offret. Storm-1152 erbjöd tjänster som gjorde det möjligt att ​​kringgå​​​ försvar och skapa bedrägliga konton, och sedan erbjuda en ny tjänst efter det att den hade identifierats. Istället för att tillhandahålla verktyg som gjorde det möjligt att kringgå försvaret mot illegalt kontoskapande, så började gruppen använda sina egna robotskapade CAPTCHA-besegrande token som gjorde det möjligt att skapa falska Microsoft-konton till försäljning.

”Vad vi observerade med Storm-1152 är typiskt”, säger Boffa. ”Varje gång du fångar en hotaktör, så testar de något annat. Att ligga steget före dem är en katt-och-råtta-lek.”

Att skapa ett rättsfall mot Storm-1152

När den bedrägliga aktiviteten nådde kokpunkten i mars 2023 anlitade Cambric och Mesa Microsofts Digital Crimes Unit (DCU) för att se vad mer man kunde göra.

DCU, som kan ses som Microsofts externa tillsynsarm, följer vanligtvis bara de mest hotande eller ihärdiga aktörerna. Man fokuserar på att störa verksamheten, genom att höja kostnaderna för den, bl.a. genom – genom att höja kostnaderna för att göra affärer – för vilka rättliga åtgärder och/eller civilrättsliga processer är de primära verktygen.

Sean Farrell, Lead Counsel för Cybercrime Enforcement-teamet i Microsofts DCU, Jason Lyons, Principal Manager of Investigations i DCU Cybercrime Enforcement Team hos Microsoft och Maurice Mason, Senior Cyber ​​Investigator, valde att tillsammans undersöka saken ytterligare. De samarbetade med Microsofts externa rådgivare i att utforma en juridisk strategi och samlade ihop de bevis som krävdes för att väcka en civilrättslig talan, och hämtade insikter från flera team i hela Microsofts organisation och den hotinformation som Arkose Labs samlade in.

”Mycket arbete hade redan gjorts när DCU engagerade sig”, minns Lyons. ”Identity-teamet och Arkose Labs hade redan gjort ett betydande arbete med att identifiera och inaktivera konton, och eftersom MSTIC kunde länka de falska kontona till vissa infrastrukturnivåer, trodde vi att detta skulle leda till ett bra DCU-rättsfall.”

Några av de faktorer som bidrar till bildandet av ett fall som är värt att driva är att ha lagar som kan användas i en civilrättslig talan, att ha jurisdiktion och att företaget är villigt att namnge individer offentligt.

Lyons jämförde övervägandet av dessa faktorer med en prioriteringsprocess, där DCU undersökte alla fakta och all information, så att de skulle kunna avgöra om allt var bra. ”I vårt arbete ställer vi oss frågan om vi vill lägga ned vår tid och energi på att vidta åtgärder”, säger han. ”Kommer effekten att vara värd de resurser vi måste lägga ned där?” Svaret i det här fallet var ja.

Mason fick i uppdrag att arbeta med tillskrivningen av Storm-1152:s cyberbrottslighet-som-en-tjänst-aktiviteter. ”Min roll var att spåra hur Storm-1152 sålde dessa falska konton till andra hotaktörsgrupper och identifiera individerna bakom Storm-1152”, förklarar Mason.

Genom sitt utredningsarbete, som omfattade en djupgående granskning av sociala medier och betalningsidentifierare, kunde Microsoft och Arkose Labs identifiera individerna bakom Storm-1152: Duong Dinh Tu, Linh Van Nguyễn (även känd som Nguyễn Van Linh) och Tai Van Nguyen.

De kunde fastställa att dessa individer hanterade och skrev kod till olagliga webbplatser, publicerade detaljerade stegvisa instruktioner via videosjälvstudier om hur man ska använda deras produkter, och tillhandahöll även chattjänter för att bistå dem som använde deras olagliga tjänster. Ytterligare anslutningar gjordes sedan till gruppens tekniska infrastruktur, som teamet kunde lokalisera till USA-baserade värdar.

”En av anledningarna till att vi genomför dessa åtgärder i DCU är att hindra de effekter dessa cyberbrottslingar kan åstadkomma. Vi gör detta genom att lämna in stämningar eller genom att tillhandahålla efterlysningar som leder till arresteringar och åtal.”
Sean Farrell 
Lead Counsel, Cybercrime Enforcement Team; Microsoft

Farrell beskriver beslutet att gå vidare med ärendet: "Här hade vi tur tack vare teamens stora arbete, som hade identifierat aktörerna, infrastrukturen och de kriminella tjänsterna.

En av anledningarna till att vi genomför dessa åtgärder i DCU är att hindra de effekter dessa cyberbrottslingar kan åstadkomma. Vi gör detta genom att lämna in stämningar eller genom att tillhandahålla efterlysningar som leder till arresteringar och åtal. Jag tror att detta skickar ett mycket starkt budskap när man kan identifiera aktörerna och identifiera dem offentligt i rättsliga processer i USA.”​​​

Storm-1152 återkommer och en andra rättslig åtgärd inleds​

Medan teamet kunde notera en omedelbar nedgång i infrastrukturen efter störningen i december 2023, så återuppstod Storm-1152 och lanserade en ny webbplats som heter RockCAPTCHA och som innehåller nya instruktionsvideor till hjälp för kunderna. RockCAPTCHA fokuserade på Microsoft genom att erbjuda tjänster som var speciellt utformade för att försöka besegra Arkos Labs CAPTCHA-säkerhetsåtgärder. I och med åtgärden i juli blev det möjligt för Microsoft att ta kontroll över den här webbplatsen, vilket innebär ett rejält slag mot aktörerna.

Arkose Cyber ​​Threat Intelligence Research Unit (ACTIR) tittade också närmare på hur Storm-1152 försökte bygga om sina tjänster. De observerade att gruppen använde mer sofistikerad taktik, som att utöka användandet av artificiell intelligens (AI) i syfte att dölja sina aktiviteter och undvika att upptäckas. Detta återuppdykande är en indikation på de förändringar som sker i hotlandskapet och vilka avancerade kapaciteter de angripare besitter som är väl insatta i AI-teknik. 

Ett av de primära områdena där Storm-1152 har integrerat AI är tekniker för att hålla sig undan upptäckt. Arkose Labs har observerat hur gruppen använder AI för att generera människoliknande signaturer på syntetisk väg.

Vikas Shetty är produktchef hos Arkose Labs och leder dess hotforskningsenhet, ACTIR. ”Användningen av AI-modeller gör det möjligt för angriparna att träna de system som skapar dessa människoliknande signaturer, vilka sedan kan användas i stor skala för attacker”, säger Shetty. ”De här signaturernas komplexitet och variation gör det svårt för traditionella detekteringsmetoder att hänga med.”

Dessutom observerade Arkose Labs att Storm-1152 försökte rekrytera och anställa AI-ingenjörer, bl.a. masterstudenter, doktorander och till och med professorer i länder som Vietnam och Kina.

”De här individerna får betalt för att utveckla avancerade AI-modeller som kan kringgå sofistikerade säkerhetsåtgärder. De här AI-ingenjörernas expertis säkerställer att modellerna inte bara är effektiva utan också kan anpassas till de säkerhetsprotokoll som ständigt utvecklas”, säger Shetty.

Att hela tiden jobba ihärdig är nyckeln till att på ett meningsfullt sätt störa cyberbrottslingarnas verksamheter, liksom att hålla reda på hur de cyberkriminella fungerar och använder ny teknik.

”Vi måste fortsätta att vara ihärdiga och vidta åtgärder som gör det svårare för de kriminella att tjäna pengar”, säger Farrell. ”Det är därför vi startade en andra rättslig process så att vi kunde ta kontroll över denna nya domän. Vi måste göra klart för dem att vi inte kommer att tolerera aktiviteter som försöker skada våra kunder och andra online.”

Vad vi lärt oss och vad det innebär inför framtiden

Med tanke på Storm-1152-utredningens resultat och avbrottet, så konstaterar Farrell att rättsfallet är viktigt inte bara på grund av dess inverkan på oss och övriga berörda företag, utan även därför att Microsofts ansträngningar att minimera effekterna av dessa operationer, som är en del av det övergripande ekosystemet för cyberbrott som en tjänst.

Ett kraftfullt budskap till allmänheten

”Att visa att vi kunde tillämpa de juridiska procedurer vi använde effektivt mot attacker med skadlig programvara och nationalstatsdrivna operationer har lett till en betydande minskning aktörernas aktiviteter, vilka har rasat till nästan noll under ganska lång tid efter att vi öppnade processen”, säger Farrell. “Jag tror att vi genom detta såg att det hade en verkligt avskräckande effekt, och budskapet som allmänheten hämtar från detta är viktigt – inte bara för den faktiska effekten, utan vad det innebär för allas bästa i onlinecommunityn.”

Nya åtkomstvektorer i identitet

En annan viktig iakttagelse har varit att det skett ett allmänt skifte från att hotaktörerna tidigare försökt kompromettera slutpunkter till att de nu riktar in sig på identiteter.  Vi ser i de flesta attackerna med utpressningstrojaner att hotaktörerna utnyttjar stulna eller komprometterade identiteter som sin första attackvektor.
”Den här trenden visar hur identitet kommer att ta över som den initiala åtkomstvektorn för kommande incidenter”, säger Mason. “De informationssäkerhetsansvariga kanske ta sin identitet på större allvar när de modellerar för sina organisationer – genom att först fokusera mer på identitetssidan, och sedan gå vidare till slutpunkterna.”

Ständig förnyelse är ett måste

Storm-1152: återkomst och dess AI-präglade strategier understryker cyberhotens föränderliga natur. Deras sofistikerade användning av AI för att såväl undvika upptäckt som att gå till angrepp utgör betydande utmaningar för traditionella säkerhetssystem. Organisationer måste anpassa sig genom att införliva avancerade AI-drivna tekniker för detektering och begränsning, så att man kan ligga steget före dessa hot.
”Fallet med Storm-1152 belyser det kritiska behovet av pågående innovation inom cybersäkerhetsområdet, så att man kan motverka den sofistikerade taktik som används av AI-kunniga angripare”, säger Shetty. ”När dessa grupper fortsätter att utvecklas, måste även försvaret mot dem utvecklas.”

Vi vet att vi kommer att fortsätta att möta nya säkerhetsutmaningar under den närmaste framtiden, men vi är optimistiska utifrån vad vi har lärt oss av detta. Som en medlem i försvarscommunityn vet vi att vi arbetar bättre tillsammans när vi ska tjäna det gemensamma bästa, och att fortsatt samarbete inom den offentliga och privata sektorn är av högsta vikt i bekämpandet av cyberbrottslighet.

Farrell säger: ”Samarbetet mellan olika team i den här processen – de kombinerade ansträngningarna inom hotinformation, identitetsskydd, utredning, tillskrivning, rättsliga åtgärder och externa partnerskap – är en modell och ett gott exempel för hur det bör fungera.”

Relaterade artiklar

Oskadliggöra gatewaytjänsterna för cyberbrott

Microsoft, med stöd av hotinformation från Arkose Labs, vidtar tekniska och juridiska åtgärder för att oskadliggöra den största distributören och skaparen av falska Microsoft-konton – en grupp vi kallar Storm-1152. Vi övervakar, noterar och vidtar åtgärder för att skydda våra kunder.
Mer information

Microsoft, Amazon och internationella brottsbekämpande myndigheter samarbetar för att bekämpa bedrägerier med falsk teknisk support

Se hur Microsoft och Amazon för första gången med förenade krafter slog ned på illegala callcenter för tekniksupport i Indien.
Mer information

En inblick i kampen mot hackare som orsakat störningar på sjukhus och äventyrat liv

Följ med bakom kulisserna i en gemensam insats mellan Microsoft, programvarutillverkaren Fortra och Health-ISAC för att störa skadade Cobalt Strike-servrar och göra det svårare för cyberbrottslingar att verka.
Mer information

Följ Microsoft Security