Trace Id is missing
ข้ามไปที่เนื้อหาหลัก
Security Insider

การดำเนินการอันกล้าหาญต่อการฉ้อโกง: หยุดยั้ง Storm-1152

แชร์
อาร์เรย์วงกลมหลากสีสันพร้อมไอคอนมากมาย

ภาพรวม

ในเดือนมีนาคม 2023 ลูกค้ารายใหญ่ของ Microsoft ประสบกับการโจมตีทางไซเบอร์ด้วยสแปมหลายครั้ง ส่งผลให้ระบบของลูกค้าหยุดทำงาน

แล้วสาเหตุคืออะไร บัญชี Microsoft Outlook และ Hotmail ที่ถูกลักลอบสร้างขึ้นมาจำนวนมากนั้นพยายามจะใช้ประโยชน์จากบริการของลูกค้าเป็นการทดลองใช้งานแก่ผู้ใช้ในอนาคต แม้ว่าบัญชีปลอมเหล่านี้จะไม่มีความตั้งใจที่จะจ่ายเงินสำหรับบริการเหล่านั้นเลยก็ตาม ส่งผลให้ลูกค้าบล็อกการลงทะเบียนบัญชีใหม่ทั้งหมดจากที่อยู่อีเมล Microsoft Outlook และ Hotmail

สิ่งที่อยู่เบื้องหลังการโจมตีครั้งนี้คือกลุ่มหลอกลวงขนาดใหญ่ที่อยู่ในเวียดนาม ซึ่งทาง Microsoft เรียกว่า Storm-1152

Storm-1152 ให้บริการเว็บไซต์และหน้าโซเชียลมีเดียที่ผิดกฎหมาย โดยจำหน่ายบัญชี Microsoft และเครื่องมือปลอมแปลงเพื่อหลีกเลี่ยงซอฟต์แวร์ตรวจสอบข้อมูลประจำตัวในแพลตฟอร์มทางเทคโนโลยีที่มีชื่อเสียง บริการของ Storm-1152 ทำหน้าที่เป็นใบเบิกทางสู่อาชญากรรมไซเบอร์ โดยจะลดเวลาและความพยายามที่จำเป็นสำหรับอาชญากรในการดำเนินพฤติกรรมทางอาชญากรรมและการใช้ในทางที่ผิดทางออนไลน์มากมาย โดยรวมแล้ว กลุ่มนี้ได้สร้างบัญชี Microsoft ปลอมแปลงเพื่อจำหน่ายแล้วประมาณ 750 ล้านบัญชี ซึ่งสร้างรายได้ที่ผิดกฎหมายหลายล้านดอลลาร์ และทำให้บริษัทมากมายต้องเสียค่าใช้จ่ายมากขึ้นในการต่อสู้กับกิจกรรมทางอาชญากรรม

ปรากฏว่ามีหลายกลุ่มที่ใช้บัญชี Storm-1152 ในการโจมตีด้วยแรนซัมแวร์ การขโมยข้อมูล และการกรรโชก ซึ่งรวมถึง​ Octo Tempest, Storm-0252, Storm-0455 และกลุ่มอื่นๆ ธุรกิจการขายบัญชีนี้กลายเป็นหนึ่งในบริการอาชญากรรมไซเบอร์ทางออนไลน์ที่ใหญ่ที่สุด

Microsoft ได้ติดตามการเพิ่มขึ้นของกิจกรรมอันเป็นอันตรายนี้มาตั้งแต่ปี 2022 โดยเพิ่มการใช้อัลกอริธึมการเรียนรู้ของเครื่องเพื่อป้องกันและตรวจจับรูปแบบที่สังเกตได้สำหรับการสร้างบัญชีปลอมเหล่านี้ อย่างไรก็ตาม ฤดูใบไม้ผลิปี 2023 ถือเป็นจุดเปลี่ยน เนื่องจากการละเมิดแพลตฟอร์มของ Microsoft และพันธมิตรที่เพิ่มมากขึ้น จำเป็นต้องมีการดำเนินการที่เข้มงวดยิ่งขึ้นและมีการจัดตั้งทีมงานข้ามสายงานจาก Microsoft และร่วมกับพันธมิตรของเราอย่าง Arkose Labs

ทันทีหลังจากดำเนินการ เราก็สังเกตเห็นว่าจำนวนผู้ลงทะเบียนนั้นลดลงประมาณ 60% จำนวนที่ลดลงนี้ใกล้เคียงมากกับจำนวนการลงทะเบียนอย่างน้อย 60% ที่อัลกอริธึมหรือพันธมิตรของเราตรวจพบในภายหลังว่าเป็นการละเมิด และที่เราระงับการใช้บริการของ Microsoft ในภายหลัง 

การประสานงานนี้ส่งผลให้หน่วยอาชญากรรมดิจิทัล (DCU) ของ Microsoftดำเนินการทางกฎหมายเป็นครั้งแรกในเดือนธันวาคม 2023 เพื่อยึดและปิดเว็บไซต์ที่ Storm-1152 ใช้ในการขายบริการของตน ทันทีหลังจากดำเนินการ เราก็สังเกตเห็นว่าจำนวนผู้ลงทะเบียนนั้นลดลงประมาณ 60% จำนวนที่ลดลงนี้ใกล้เคียงมากกับจำนวนการลงทะเบียนอย่างน้อย 60% ที่อัลกอริธึมหรือพันธมิตรของเราตรวจพบในภายหลังว่าเป็นการละเมิด และที่เราระงับการใช้บริการของ Microsoft ในภายหลัง เมื่อวันที่ 23 กรกฎาคม เราได้ยื่นฟ้องแพ่งเป็นครั้งที่สองเพื่อขัดขวางโครงสร้างพื้นฐานใหม่ที่กลุ่มนี้พยายามสร้างขึ้นหลังจบคดีความของเราไปในเดือนธันวาคม

รายงานภัยคุกคามใหม่นี้กล่าวถึงเบื้องหลังการดำเนินการและเน้นย้ำถึงความสำคัญของการร่วมมือกันระหว่างอุตสาหกรรมเพื่อจัดการกับภัยคุกคามทางไซเบอร์ คดีนี้เป็นตัวอย่างของการที่อุตสาหกรรมสามารถใช้ช่องทางกฎหมายเพื่อช่วยป้องกันกลุ่มอื่นๆ และทำให้บุคคลต่างๆ ปลอดภัยทางออนไลน์ได้อย่างไร นอกจากนี้ยังกล่าวถึงความสำคัญของการหยุดขัดขวางอย่างต่อเนื่องและการดำเนินคดีทางกฎหมายยังคงเป็นวิธีที่มีประสิทธิผลต่ออาชญากรทางไซเบอร์อยู่ แม้ว่าจะเปลี่ยนวิธีการไปแล้วก็ตาม ท้ายที่สุดแล้ว ไม่มีการดำเนินการใดที่ทำเพียงครั้งเดียวแล้วเสร็จ

การค้นพบและการระบุตัวตน Storm-1152

ในเดือนกุมภาพันธ์ 2023 Matthew Mesa นักวิจัยด้านความปลอดภัยอาวุโสในศูนย์ข่าวกรองเกี่ยวกับภัยคุกคามของ Microsoft (MSTIC) ได้สังเกตเห็นรูปแบบที่เพิ่มขึ้นของบัญชี Microsoft Outlook ที่ถูกใช้ในแคมเปญฟิชชิ่งจำนวนมาก ในบทบาทของเขา Mesa จะวิเคราะห์แคมเปญอีเมลและมองหากิจกรรมน่าสงสัย เมื่อเขาพบเห็นการใช้บัญชีปลอมเพิ่มมากขึ้น เขาจึงตั้งคำถามกับตัวเองว่า “บัญชีทั้งหมดเหล่านี้เกี่ยวข้องกันหรือไม่”

เขาสร้างโปรไฟล์ผู้ดำเนินการภัยคุกคามใหม่ทันทีที่ชื่อว่า Storm-1152 และเริ่มติดตามกิจกรรมของกลุ่มนี้ และรายงานผลการค้นพบให้ทีมข้อมูลประจำตัวของ Microsoft ทราบ Shinesa Cambric ผู้จัดการผลิตภัณฑ์หลักของทีมต่อต้านการละเมิดและป้องกันการฉ้อโกงของ Microsoft ยังได้ติดตามกิจกรรมอันตรายนี้และสังเกตเห็นว่ามีจำนวนบัญชีอัตโนมัติ (บอท) เพิ่มขึ้นซึ่งพยายามเอาชนะระบบ CAPTCHA ที่ใช้เพื่อปกป้องกระบวนการลงทะเบียนสำหรับบริการผู้บริโภคของ Microsoft​

“ทีมของฉันมุ่งเน้นทั้งเรื่องประสบการณ์ของผู้บริโภคและประสบการณ์ขององค์กร ซึ่งหมายความว่าเราจะต้องปกป้องบัญชีหลายพันล้านบัญชีทุกวันจากการฉ้อโกงและการละเมิด” Cambric อธิบาย “บทบาทของเราคือการทำความเข้าใจวิธีการของผู้ดำเนินการภัยคุกคาม เพื่อที่เราจะสามารถหลีกเลี่ยงการโจมตีและป้องกันการเข้าถึงระบบของเราได้ พวกเราคำนึงถึงเรื่องการป้องกันอยู่เสมอเกี่ยวกับวิธีที่เราสามารถหยุดยั้งผู้ไม่หวังดีที่เจาะเข้ามาได้”

สิ่งที่ทำให้เธอสนใจคือระดับการฉ้อโกงที่เกี่ยวข้องกับกิจกรรมดังกล่าวที่เพิ่มสูงขึ้น เมื่อหลายๆ ฝ่าย ไม่ว่าจะเป็นพันธมิตรของ Microsoft รวมถึงส่วนใดส่วนหนึ่งของห่วงโซ่อุปทานของเรา ต่างเข้ามาเพื่อรายงานความเสียหายอันเป็นผลมาจากบัญชี Microsoft ที่สร้างจากบอท Cambric จึงเริ่มดำเนินการ

ทีมงานของ Cambric ได้ร่วมกับผู้ให้บริการป้องกันความปลอดภัยทางไซเบอร์และการจัดการบอทอย่าง Arkose Labs เพื่อระบุและปิดการใช้งานบัญชีปลอมของกลุ่มนี้ และแบ่งปันรายละเอียดงานของพวกเขากับเพื่อนร่วมงานฝ่ายข่าวกรองเกี่ยวกับภัยคุกคามใน MSTIC ของ Microsoft และหน่วยวิจัยข่าวกรองเกี่ยวกับภัยคุกคามทางไซเบอร์ของ Arkose (ACTIR)

“บทบาทของเราคือการทำความเข้าใจวิธีการของผู้ดำเนินการภัยคุกคาม เพื่อที่เราจะสามารถหลีกเลี่ยงการโจมตีและป้องกันการเข้าถึงระบบของเราได้ พวกเราคำนึงถึงเรื่องการป้องกันอยู่เสมอเกี่ยวกับวิธีที่เราสามารถหยุดยั้งผู้ไม่หวังดีที่เจาะเข้ามาได้” 
Shinesa Cambric 
ผู้จัดการผลิตภัณฑ์หลัก ฝ่ายต่อต้านการละเมิดและป้องกันการฉ้อโกงของ Microsoft 

Patrice Boffa หัวหน้าฝ่ายลูกค้า Arkose Labs อธิบายว่า “ในช่วงแรก บทบาทของเราคือการปกป้อง Microsoft จากการสร้างบัญชีอันตราย แต่เมื่อระบุได้ว่า Storm-1152 เป็นกลุ่มหนึ่ง เราก็เริ่มรวบรวมข้อมูลข่าวกรองเกี่ยวกับภัยคุกคามจำนวนมากด้วยเช่นกัน”

การทำความเข้าใจ Storm-1152

ในฐานะกลุ่มที่มีแรงจูงใจทางการเงินนี้ Storm-1152 จึงโดดเด่นในเรื่องการจัดองค์กรและความเป็นมืออาชีพที่ยอดเยี่ยมด้วยข้อเสนออาชญากรรมทางไซเบอร์ในรูปแบบบริการ (CaaS) ของตน Storm-1152 ดำเนินการเหมือนเป็นบริษัทถูกกฎหมาย และดำเนินบริการแก้ทางระบบ CAPTCHA แบบผิดกฎหมายตอนกลางวันแสกๆ

“หากคุณไม่ทราบว่านี่เป็นองค์กรอันตราย คุณก็อาจคิดว่าเป็นแค่บริษัท SaaS ทั่วไปได้” 
Patrice Boffa
หัวหน้าฝ่ายลูกค้าของ Arkose Labs

Boffa กล่าวว่า “หากคุณไม่ทราบว่านี่เป็นองค์กรอันตราย คุณก็อาจคิดว่าเป็นแค่บริษัท SaaS ทั่วไปได้” และยังเสริมด้วยว่า AnyCAPTCHA.com ของ Storm-1152 นั้นมีเว็บไซต์ที่เผยแพร่สู่สาธารณะ ยอมรับการชำระเงินด้วยสกุลเงินดิจิทัลผ่านทาง PayPal และยังเสนอช่องทางการสนับสนุนอีกด้วย

บริการนี้ใช้บอทในการรวบรวมโทเค็น CAPTCHA จำนวนมาก ซึ่งนำไปขายให้กับลูกค้า จากนั้นลูกค้าจึงนำโทเค็นเหล่านี้ไปใช้เพื่อวัตถุประสงค์ที่ไม่เหมาะสม (เช่น การสร้างบัญชี Microsoft ปลอมจำนวนมาก เพื่อใช้ในการโจมตีทางไซเบอร์ในภายหลัง) ก่อนที่โทเค็นจะหมดอายุ ความพยายามในการสร้างบัญชีปลอมนี้เกิดขึ้นอย่างรวดเร็วและมีประสิทธิภาพมากจนทีมงานของ Arkose Labs สรุปได้ว่ากลุ่มนี้กำลังใช้เทคโนโลยีการเรียนรู้ของเครื่องแบบอัตโนมัติ 

“เมื่อเราได้รับรู้ถึงความรวดเร็วในการปรับตัวของกลุ่มนี้เพื่อรับมือกับความพยายามในการบรรเทาผลกระทบของเราแล้ว เราก็ตระหนักได้ว่าการโจมตีจำนวนมากของกลุ่มนี้นั้นใช้ AI” Boffa กล่าว “เมื่อเทียบกับผู้ประสงค์ร้ายรายอื่นๆ ที่เราเคยพบเจอ Storm-1152 นั้นใช้ AI ในรูปแบบล้ำสมัยมาก” ทีม Arkose Labs และ Microsoft สามารถสังเกตเห็นการเปลี่ยนแปลงในกลวิธีทางธุรกิจเป็นแนวทางในการปรับตัวให้เข้ากับความพยายามในการตรวจจับและป้องกันที่เพิ่มมากขึ้น

ในช่วงแรก Storm-1152 มุ่งเน้นไปที่การให้บริการแก่เหล่าอาชญากร เพื่อเลี่ยงระบบรักษาความปลอดภัยของบริษัทเทคโนโลยีอื่นๆ โดยมี​Microsoft​ เป็นเหยื่อรายใหญ่ Storm-1152 เสนอบริการในการเลี่ยง​​ ระบบป้องกัน เพื่อสร้างบัญชีปลอม แล้วจึงเสนอบริการใหม่เมื่อตรวจจับได้ แทนที่จะให้เครื่องมือเพื่อเลี่ยงระบบป้องกันการสร้างบัญชี กลุ่มนี้กลับเปลี่ยนแนวทางโดยใช้โทเค็นจัดการระบบ CAPTCHA ที่รวบรวมโดยบอทของตนเองเพื่อสร้างบัญชี Microsoft ปลอมมาขายต่อ

“สิ่งที่เราสังเกตเห็นจาก Storm-1152 ถือเป็นเรื่องปกติ,” Boffa กล่าว ทุกครั้งที่คุณจับผู้ดำเนินการภัยคุกคามได้ พวกเขาจะพยายามทำอย่างอื่น การก้าวนำหน้าพวกเขาก็เหมือนเล่นวิ่งไล่จับ”

การดำเนินการฟ้องร้อง Storm-1152

เมื่อกิจกรรมฉ้อโกงนี้ถึงจุดเดือดในเดือนมีนาคม 2023 Cambric และ Mesa ได้ติดต่อหน่วยงานอาชญากรรมดิจิทัล (DCU) ของ Microsoft เพื่อดูว่าจะสามารถทำอะไรได้มากกว่านี้บ้าง

เนื่องจาก DCU เป็นหน่วยงานบังคับใช้กฎหมายภายนอกของ Microsoft จึงมักจะดำเนินการไล่ล่าเฉพาะผู้ดำเนินการที่สร้างอันตรายร้ายแรงหรือต่อเนื่องเท่านั้น โดยมุ่งเน้นไปที่การหยุดขัดขวาง หรือเพิ่มต้นทุนในการดำเนินการ ซึ่งเน้นใช้คดีอาญาและ/หรือคดีแพ่งเป็นเครื่องมือหลัก

Sean Farrell หัวหน้าที่ปรึกษาของทีมบังคับใช้กฎหมายอาชญากรรมทางไซเบอร์ใน DCU ของ Microsoft, Jason Lyons ผู้จัดการหลักฝ่ายสืบสวนในทีมบังคับใช้กฎหมายอาชญากรรมทางไซเบอร์ใน DCU ของ Microsoft และ Maurice Mason พนักงานสืบสวนคดีไซเบอร์อาวุโส ได้ร่วมกันสืบสวนคดีเพิ่มเติม ทั้งสามประสานงานกับที่ปรึกษาภายนอกของ Microsoft เพื่อออกแบบกลยุทธ์ทางกฎหมายและรวบรวมหลักฐานที่จำเป็นในการยื่นฟ้องแพ่ง โดยรวบรวมข้อมูลเชิงลึกจากหลายทีมทั่วทั้ง Microsoft และข้อมูลข่าวกรองเกี่ยวกับภัยคุกคามที่ Arkose Labs รวบรวมไว้

“มีงานมากมายที่ทำเสร็จไปแล้วก่อนที่ DCU จะเข้ามามีส่วนเกี่ยวข้อง” Lyons เล่า “ทีมข้อมูลประจำตัวและ Arkose Labs ได้ดำเนินงานสำคัญในการระบุและปิดการใช้งานบัญชีต่างๆ ไปเรียบร้อยแล้ว และเนื่องจาก MSTIC สามารถเชื่อมโยงบัญชีปลอมกับโครงสร้างพื้นฐานบางระดับได้ เราจึงคิดว่านี่จะเป็นคดีทางกฎหมายที่ดีใน DCU”

ปัจจัยบางประการที่ส่งผลต่อการก่อตั้งคดีที่คุ้มค่าต่อการดำเนินการ ได้แก่ การมีกฎหมายที่สามารถบังคับใช้ในคดีแพ่งได้ การมีเขตอำนาจศาล และความเต็มใจของบริษัทที่จะเปิดเผยชื่อบุคคลต่อสาธารณะ

Lyons เปรียบเทียบการพิจารณาปัจจัยเหล่านี้กับกระบวนการคัดแยก โดยที่ DCU จะตรวจสอบข้อเท็จจริงและข้อมูลเพื่อช่วยกำหนดว่าทุกปัจจัยเหล่านี้เป็นคดีที่ดีหรือไม่ “จากสิ่งที่เราทำ เราตั้งคำถามว่าเราอยากใช้เวลาและพลังงานเพื่อลงมือดำเนินการหรือไม่” เขากล่าว “ผลกระทบจะคุ้มค่ากับทรัพยากรที่เราต้องใช้หรือไม่” และคำตอบในครั้งนี้ก็คือ ใช่

Mason ได้รับมอบหมายให้ทำงานเกี่ยวกับการระบุแหล่งที่มาของกิจกรรมอาชญากรรมทางไซเบอร์ในรูปแบบบริการของ Storm-1152 “บทบาทของผมคือการติดตามว่า Storm-1152 ขายบัญชีปลอมเหล่านี้ให้กับกลุ่มผู้ดำเนินการภัยคุกคามรายอื่นๆ ได้อย่างไร และระบุบุคคลที่อยู่เบื้องหลัง Storm-1152” Mason อธิบาย

จากการทำงานสืบสวน ซึ่งรวมถึงการตรวจสอบอย่างละเอียดตามโซเชียลมีเดียและข้อมูลระบุการชำระเงินต่างๆ ทาง Microsoft และ Arkose Labs สามารถระบุบุคคลที่อยู่เบื้องหลัง Storm-1152 ได้ ซึ่งได้แก่ Duong Dinh Tu, Linh Van Nguyễn (หรือที่รู้จักในชื่อ Nguyễn Van Linh) และ Tai Van Nguyen

ข้อมูลที่ค้นพบแสดงให้เห็นว่าบุคคลเหล่านี้ดำเนินการและเขียนโค้ดสำหรับเว็บไซต์ผิดกฎหมาย เผยแพร่คำแนะนำโดยละเอียดทีละขั้นตอนเกี่ยวกับวิธีการใช้ผลิตภัณฑ์ของตนผ่านวิดีโอบทช่วยสอน และให้บริการแชทเพื่อช่วยเหลือบุคคลที่ใช้บริการปลอมแปลงของตน จากนั้นมีการเชื่อมต่อเพิ่มเติมกับโครงสร้างพื้นฐานทางเทคนิคของกลุ่ม ซึ่งทีมงานสามารถระบุตำแหน่งไปยังโฮสต์ที่ตั้งอยู่ในสหรัฐอเมริกาได้

“เหตุผลประการหนึ่งที่เราดำเนินการเหล่านี้ใน DCU ก็คือเพื่อป้องกันผลกระทบจากอาชญากรทางไซเบอร์เหล่านี้ เราทำเช่นนี้โดยการยื่นฟ้องหรือจากการให้คำแนะนำเกี่ยวกับคดีอาญา ซึ่งนำไปสู่การจับกุมและการดำเนินคดี”
Sean Farrell 
หัวหน้าที่ปรึกษาฝ่ายบังคับใช้กฎหมายอาชญากรรมทางไซเบอร์ของ Microsoft

เมื่ออธิบายถึงการตัดสินใจในการดำเนินคดีต่อไป Farrell กล่าวว่า “เราโชคดีมาก เพราะทีมทำงานกันได้อย่างดีเยี่ยม ซึ่งช่วยระบุตัวผู้ที่เกี่ยวข้องกับการวางโครงสร้างพื้นฐานและบริการอาชญากรนี้ได้”

เหตุผลประการหนึ่งที่เราดำเนินการเหล่านี้ใน DCU ก็คือเพื่อป้องกันผลกระทบจากอาชญากรทางไซเบอร์เหล่านี้ เราทำเช่นนี้โดยการยื่นฟ้องหรือจากการให้คำแนะนำเกี่ยวกับคดีอาญา ซึ่งนำไปสู่การจับกุมและการดำเนินคดี ผมคิดว่าเรื่องนี้จะช่วยส่งสารที่แข็งแกร่งมากๆ เมื่อคุณสามารถระบุตัวผู้กระทำความผิดและระบุตัวพวกเขาต่อสาธารณะในคำฟ้องทางกฎหมายในสหรัฐอเมริกาได้”​​​

Storm-1152 เกิดใหม่และการดำเนินคดีครั้งที่สอง​

แม้ทีมงานจะเห็นโครงสร้างพื้นฐานที่ลดลงทันทีหลังจากการหยุดขัดขวางในเดือนธันวาคม 2023 แต่ Storm-1152 ก็กลับมาอีกครั้ง พร้อมเปิดตัวเว็บไซต์ใหม่ชื่อ RockCAPTCHA พร้อมด้วยวิดีโอสาธิตการใช้งานใหม่ๆ เพื่อช่วยเหลือลูกค้า RockCAPTCHA ตั้งเป้าโจมตี Microsoft โดยเสนอบริการที่ออกแบบมาโดยเฉพาะเพื่อพยายามเอาชนะมาตรการรักษาความปลอดภัยอย่าง CAPTCHA ของ Arkose Labs การดำเนินการในเดือนกรกฎาคมช่วยให้ Microsoft สามารถควบคุมเว็บไซต์นี้ไว้ได้ และส่งดำเนินคดีกับกลุ่มผู้ดำเนินการอีกครั้ง

หน่วยวิจัยข่าวกรองเกี่ยวกับภัยคุกคามไซเบอร์ของ Arkose (ACTIR) ยังได้ศึกษาอย่างใกล้ชิดว่า Storm-1152 พยายามสร้างบริการของตนขึ้นมาใหม่อย่างไร พวกเขาสังเกตเห็นว่ากลุ่มนี้ใช้ยุทธวิธีที่ซับซ้อนมากขึ้น รวมถึงเพิ่มการใช้ปัญญาประดิษฐ์ (AI) เพื่อบดบังการดำเนินการของตนและหลบเลี่ยงการตรวจจับ การกลับมาอีกครั้งนี้บ่งชี้ถึงการเปลี่ยนแปลงที่เกิดขึ้นในภูมิทัศน์ภัยคุกคาม และแสดงให้เห็นถึงความสามารถขั้นสูงของกลุ่มผู้โจมตีที่เชี่ยวชาญในเทคโนโลยี AI 

หนึ่งในพื้นที่หลักที่ Storm-1152 ผสาน AI เข้าไปก็คือเทคนิคการหลบเลี่ยง Arkose Labs พบว่ากลุ่มนี้ใช้ AI เพื่อสร้างลายเซ็นเหมือนมนุษย์

Vikas Shetty เป็นหัวหน้าผลิตภัณฑ์ของ Arkose Labs และเป็นหัวหน้าหน่วยวิจัยภัยคุกคาม ACTIR “การใช้โมเดล AI ช่วยให้กลุ่มผู้โจมตีสามารถฝึกระบบที่จะสร้างเซ็นที่คล้ายกับมนุษย์เซ็นเองได้ ซึ่งสามารถนำไปใช้ในการโจมตีได้ในระดับขนาดใหญ่” Shetty กล่าว “ความซับซ้อนและความหลากหลายของลายเซ็นเหล่านี้ทำให้วิธีการตรวจจับแบบดั้งเดิมนั้นยากที่จะตามทัน”

นอกจากนี้ Arkose Labs ยังได้สังเกตเห็นว่า Storm-1152 พยายามที่จะคัดเลือกและว่าจ้างวิศวกร AI มากมาย รวมถึงนักศึกษาปริญญาโท นักศึกษาปริญญาเอก และแม้แต่ศาสตราจารย์ในประเทศต่างๆ เช่น เวียดนามและจีน

“บุคคลเหล่านี้ได้รับค่าจ้างเพื่อพัฒนาโมเดล AI ขั้นสูงที่สามารถเลี่ยงมาตรการรักษาความปลอดภัยที่ซับซ้อนได้ ความเชี่ยวชาญของวิศวกร AI เหล่านี้ช่วยรับประกันได้ว่าโมเดลนี้ไม่เพียงแค่มีประสิทธิภาพ แต่ยังปรับให้เข้ากับมาตรการรักษาความปลอดภัยที่เปลี่ยนแปลงไปได้อีกด้วย” Shetty กล่าว

การยืนกรานแน่วแน่ต่อเนื่องคือกุญแจสำคัญในการหยุดยั้งการดำเนินการของเหล่าอาชญากรไซเบอร์อย่างมีประสิทธิผล เช่นเดียวกับการติดตามวิธีการดำเนินงานของอาชญากรไซเบอร์และการใช้เทคโนโลยีใหม่ๆ

“เราจะต้องยืนกรานมุ่งมั่นที่จะดำเนินการที่ทำให้เหล่าอาชญากรหาเงินได้ยากขึ้น” Farrell กล่าว “นี่คือสาเหตุที่เรายื่นฟ้องคดีครั้งที่สองเพื่อเข้าควบคุมโดเมนใหม่นี้ เราจำเป็นต้องส่งสารออกไปว่าเราจะไม่ทนต่อกิจกรรมที่มุ่งหวังจะทำร้ายลูกค้าและบุคลากรของเราทางออนไลน์”

สิ่งที่ได้เรียนรู้และและผลกระทบในอนาคต

เมื่อพิจารณาถึงผลลัพธ์การสืบสวนและการหยุดขัดขวาง Storm-1152 แล้ว Farrell ก็ได้ทราบว่าคดีนี้มีความสำคัญไม่เพียงแค่เพราะผลกระทบที่เกิดขึ้นกับเราและบริษัทอื่นที่ได้รับผลกระทบเท่านั้น แต่ยังรวมถึงความพยายามของ Microsoft ที่จะขยายผลกระทบของปฏิบัติการเหล่านี้ ซึ่งเป็นส่วนหนึ่งของระบบนิเวศของอาชญากรรมทางไซเบอร์ในรูปแบบบริการโดยรวมด้วย

สารที่แข็งแกร่งต่อสาธารณชน

“การแสดงให้เห็นว่าเราสามารถใช้กลไกทางกฎหมายที่มีประสิทธิผลต่อกรกับการโจมตีด้วยมัลแวร์และการปฏิบัติการที่กำกับโดยรัฐได้นั้นช่วยบรรเทาหรือจัดการกับการดำเนินการของผู้ดำเนินการได้อย่างมีนัยสำคัญ ซึ่งลดลงจนแทบจะเป็นศูนย์มาระยะหนึ่งแล้วหลังจากที่เราฟ้องร้องคดี” Farrell กล่าว “ผมคิดว่าจากเรื่องนี้ เราเห็นแล้วว่าเราสามารถยับยั้งได้จริง และสารที่สาธารณชนได้รับจากเรื่องนี้นั้นมีความสำคัญ ไม่ใช่แค่ในส่วนผลกระทบเท่านั้น แต่ในส่วนประโยชน์ส่วนรวมของชุมชนออนไลน์ด้วย”

ช่องทางการเข้าถึงข้อมูลประจำตัวใหม่

ข้อสังเกตที่สำคัญอีกประการหนึ่งก็คือ การเปลี่ยนแปลงโดยทั่วไปจากผู้ดำเนินการภัยคุกคามที่พยายามจะเจาะจุดสิ้นสุดเป็นการค้นหาข้อมูลประจำตัวแทน  เราพบว่าการโจมตีด้วยแรนซัมแวร์ส่วนใหญ่จากผู้ดำเนินการภัยคุกคามนั้นใช้ข้อมูลประจำตัวที่ขโมยมาหรือมีช่องโหว่เป็นช่องทางการโจมตีเบื้องต้น
“แนวโน้มนี้แสดงให้เห็นว่าข้อมูลประจำตัวจะเข้ามามีบทบาทมากขึ้นในการเข้าถึงเหตุการณ์ที่จะเกิดขึ้น” Mason กล่าว “CISO อาจอยากที่จะมีจุดยืนที่จริงจังมากขึ้นในเรื่องข้อมูลประจำตัวระหว่างสร้างแบบจำลองให้กับองค์กรของตน โดยเน้นไปที่ด้านข้อมูลประจำตัวก่อน จากนั้นค่อยเน้นที่จุดสิ้นสุด”

นวัตกรรมที่พัฒนาต่อเนื่องคือเรื่องสำคัญ

การกลับมาอีกครั้งของ Storm-1152 และกลยุทธ์ที่ผสาน AI เข้าไปด้วยนี้เน้นย้ำให้เห็นถึงลักษณะที่เปลี่ยนแปลงไปของภัยคุกคามทางไซเบอร์ การใช้ AI อย่างซับซ้อนในการหลบเลี่ยงและจัดการกับมาตรการต่างๆ นี้ก่อให้เกิดความท้าทายที่สำคัญสำหรับมาตรการรักษาความปลอดภัยแบบดั้งเดิม หลายองค์กรต้องปรับตัวโดยใช้เทคนิคการตรวจจับและการบรรเทาที่ขับเคลื่อนโดย AI ขั้นสูง เพื่อให้ก้าวล้ำหน้าภัยคุกคามเหล่านี้
“คดีของ Storm-1152 เน้นย้ำให้เห็นถึงความจำเป็นอย่างยิ่งในการพัฒนานวัตกรรมอย่างต่อเนื่องในด้านการรักษาความปลอดภัยทางไซเบอร์ เพื่อต่อต้านกลยุทธ์ที่ซับซ้อนซึ่งกลุ่มผู้โจมตีที่เชี่ยวชาญ AI นำมาใช้” Shetty กล่าว “หากกลุ่มต่างๆ เหล่านี้ยังคงพัฒนาต่อไป การป้องกันที่ออกแบบมาเพื่อป้องกันกลุ่มเหล่านี้ก็ต้องพัฒนาตามไปด้วย”

เราต่างรู้ว่าเราจะยังคงต้องเผชิญกับความท้าทายด้านการรักษาความปลอดภัยใหม่ๆ อยู่เสมอในอนาคต แต่เราก็มองในแง่ดีเกี่ยวกับสิ่งที่เราได้เรียนรู้จากการดำเนินการครั้งนี้ ในฐานะสมาชิกชุมชนผู้ปกป้อง เรารู้ดีว่าเราทำงานร่วมกันได้ดีขึ้นในการให้บริการเพื่อประโยชน์ร่วมกัน และความร่วมมืออย่างต่อเนื่องของภาคสาธารณะและเอกชนยังคงมีความจำเป็นในการเผชิญกับอาชญากรรมทางไซเบอร์

Farrell กล่าวว่า “ความร่วมมือระหว่างทีมในการดำเนินการนี้ ซึ่งรวมถึงความพยายามในการรวบรวมข้อมูลข่าวกรองเกี่ยวกับภัยคุกคาม การปกป้องข้อมูลประจำตัว การสืบสวน การระบุแหล่งที่มา การดำเนินคดีตามกฎหมาย และความร่วมมือภายนอก ทั้งหมดนี้ถือเป็นรูปแบบการดำเนินงานที่เราควรดำเนินการ”

บทความที่เกี่ยวข้อง

การขัดขวางบริการที่เป็นใบเบิกทางสู่อาชญากรรมไซเบอร์

Microsoft พร้อมการสนับสนุนด้านข่าวกรองเกี่ยวกับภัยคุกคามจาก Arkose Labs กำลังดำเนินการด้านเทคนิคและทางกฎหมายเพื่อขัดขวางผู้ขายและผู้สร้างบัญชี Microsoft ปลอมแปลงอันดับหนึ่งของวงการ ซึ่งเป็นกลุ่มที่เราเรียกว่า Storm-1152 เรากำลังจับตามอง รับทราบ และจะดำเนินการเพื่อปกป้องลูกค้าของเรา
เรียนรู้เพิ่มเติม

Microsoft, Amazon และหน่วยงานบังคับใช้กฎหมายระหว่างประเทศร่วมมือกันเพื่อต่อสู้กับการฉ้อโกงผ่านการสนับสนุนทางเทคนิค

ดูวิธีการที่ Microsoft และ Amazon ผนึกกำลังกันเป็นครั้งแรกเพื่อทำลายล้างศูนย์บริการสนับสนุนด้านเทคนิคที่ผิดกฎหมายทั่วประเทศอินเดีย
เรียนรู้เพิ่มเติม

ข้อมูลวงในของการต่อสู้กับแฮกเกอร์ที่ขัดขวางการทำงานของโรงพยาบาลและทำให้ชีวิตของผู้คนมากมายตกอยู่ในอันตราย

ศึกษาข้อมูลเบื้องหลังในการดำเนินการร่วมกันระหว่าง Microsoft, Fortra ที่เป็นผู้ผลิตซอฟต์แวร์ และ Health-ISAC เพื่อขัดขวางเซิร์ฟเวอร์ Cobalt Strike ที่มีการแฮ็ก และทำให้อาชญากรไซเบอร์ดำเนินการได้ยากขึ้น
เรียนรู้เพิ่มเติม

ติดตาม Microsoft Security