Microsoft olarak insanları çevrimiçi ortamlarda korumanın yaratıcı yollarını aramaya devam ediyoruz ve bu, başkalarına zarar vermek için ürünlerimizin sahte kopyalarını oluşturanlara tolerans göstermemeyi de içeriyor. Sahte çevrimiçi hesaplar; toplu kimlik avı, kimlik hırsızlığı ve dolandırıcılık ve dağıtılmış hizmet engelleme (DDoS) saldırıları dahil olmak üzere bir dizi siber suça açılan bir kapı görevi görür. Bu nedenle bugün, önde gelen bir siber güvenlik savunması ve bot yönetimi satıcısı olan Arkose Labs’in değerli tehdit analizi içgörüleriyle, Storm-1152 adını verdiğimiz bir grup olan, sahte Microsoft hesaplarının bir numaralı satıcısı ve yaratıcısının peşine düşüyoruz. Siber suçlar için sahte Microsoft ürünleri oluşturmak, satmak veya dağıtmak isteyenlere güçlü bir mesaj gönderiyoruz: izliyoruz, dikkate alıyoruz ve müşterilerimizi korumak için harekete geçeceğiz. Storm-1152 yasadışı web siteleri ve sosyal medya sayfaları işletmekte; sahte Microsoft hesapları, ve tanınmış teknoloji platformlarında kimlik doğrulama yazılımlarını atlatacak araçlar satmaktadır. Bu hizmetler, suçluların çevrimiçi ortamda suç ve istismar içeren davranışlar sergilemesi için gereken zaman ve çabayı azaltır. Bugüne dek Storm-1152, yaklaşık 750 milyon sahte Microsoft hesabı satarak milyonlarca dolar yasadışı gelir elde etmiş ve Microsoft ve diğer şirketlerin, onların suç faaliyetleriyle başa çıkmak için bu miktardan daha fazlasını harcamasına neden olmuştur. Bugün yapacağımız eylemde amacımız, suç teşkil eden davranışlara engel olmak. Siber suçluların saldırılarını başlatma hızlarını yavaşlatmaya çalışarak bir yandan soruşturmamızı sürdürür ve müşterilerimizi ve diğer çevrimiçi kullanıcıları korurken bir yandan da onların iş yapma maliyetlerini artırmayı hedefliyoruz.
Microsoft Dijital Savunma Raporu 2024 içgörülerini tanıtan isteğe bağlı web seminerini izlemek için şimdi kaydolun .
Siber suça neden olan ağ geçidi hizmetlerinin kesintiye uğratılması
Storm-1152, son derece uzmanlaşmış hizmet olarak siber suç ekosisteminde önemli bir rol oynamaktadır. Siber suçlular, büyük ölçüde otomatikleştirilmiş suç faaliyetlerini desteklemek için sahte hesaplara ihtiyaç duyar. Şirketlerin sahte hesapları hızlı bir şekilde tespit edip kapatabiliyor olması, suçluların risk azaltma çabalarını atlatmak için daha fazla sayıda hesaba ihtiyaç duymasına neden olur. Ve siber suçlular, binlerce sahte hesap oluşturmakla vakit kaybetmek yerine bunları Storm-1152 ve diğer gruplardan kolayca satın alabilirler. Bu da suçluların, esas hedefleri olan kimlik avı, çoklu e-posta gönderme, fidye yazılımı ve diğer dolandırıcılık ve suistimal türlerine odaklanabilmelerini sağlar. Storm-1152 ve onlar gibi gruplar, çok sayıda siber suçlunun kötü niyetli faaliyetlerini daha verimli ve etkili bir şekilde gerçekleştirmesine yardımcı oluyor.
Microsoft Tehdit Analizi, Storm-1152 hesaplarını kullanarak fidye yazılımı, veri hırsızlığı ve şantaj yapan birden fazla grup tespit etmiştir. Örneğin Scattered Spider olarak da bilinen Octo Tempest, Storm-1152’den sahte Microsoft hesapları almıştır. Octo Tempest, maddi şantaj amacıyla geniş sosyal mühendislik kampanyalarından yararlanarak dünyanın dört bir yanındaki kuruluşları tehlikeye atan, finansal motivasyona sahip bir siber suç grubudur. Microsoft, saldırılarını geliştirmek için Storm-1152'den sahte hesaplar satın alan Storm-0252 ve Storm-0455 dahil olmak üzere, diğer birçok fidye yazılımı veya şantaj tehdidi aktörünü izlemeye devam etmektedir.
Microsoft, 7 Aralık Perşembe günü New York Güney Bölgesi’nden, ABD merkezli alt yapılara el koymak ve Storm-1152’nin Microsoft müşterilerine zarar vermek için kullandığı web sitelerini çevrimdışı hale getirmek için bir mahkeme kararı çıkarttırdı. Davamızın esas konusu sahte Microsoft hesapları olsa da ilgili web siteleri, diğer tanınmış teknoloji platformlarındaki güvenlik önlemlerini atlatacak hizmetler de satıyordu. Dolayısıyla bugün yaptığımız eylemin, Microsoft dışındaki kullanıcıları da kapsayacak daha geniş bir etkisi olacak. Microsoft’un Dijital Suçlar Birimi, özellikle aşağıdaki sitelerin hizmetini kesintiye uğratmıştır:
- Hotmailbox.me: Sahte Microsoft Outlook hesapları satan bir web sitesi.
- 1stCAPTCHA, AnyCAPTCHA ve NoneCAPTCHA: Kullanımın ve hesap kurulumunun gerçek bir kişi tarafından yapıldığını doğrulama aşamasını atlamak için, CAPTCHA çözüm hizmetinin işleyişini, altyapısını ve satışını kolaylaştıran web siteleri. Bu siteler, diğer teknoloji platformları için kimlik doğrulama aşamasını atlatmaya yardımcı olacak araçlar satmıştır.
- Sosyal medya siteleri de bu hizmetlerin pazarlanmasında aktif olarak kullanılmıştır.
Storm-1152’nin yasa dışı web sitelerinin görüntüleri.
Microsoft, kendini, gezegendeki her kişi ve kuruluş için güvenli bir dijital deneyim sağlamaya adamıştır. Yeni nesil bir CAPTCHA savunma çözümü uygulamak için Arkose Labs ile yakın bir şekilde çalışıyoruz. Bu çözüm, bir Microsoft hesabı açmak isteyen her kullanıcının bir insan olduğunu (bot değil) beyan etmesini ve çeşitli zorlukları çözerek bu beyanı doğrulamasını gerektiriyor.
Arkose Labs'in kurucusu ve CEO'su Kevin Gosschalk'ın dediği gibi: "Storm-1152, tek amacı rakiplerini karmaşık saldırılar gerçekleştirmeleri için güçlendirerek para kazanmak olan zorlu bir düşmandır. Grup, CaaS işini karanlık web yerine gün ışığında yürütüyor olmasıyla öne çıkıyor. Storm-1152 araçları için eğitim veren hatta tam müşteri desteği sunan tipik bir internet şirketi olarak faaliyet göstermiştir. Oysa gerçekte Storm-1152, ciddi bir dolandırıcılığa açılan bir kapıydı."
Storm-1152'nin faaliyetleri yalnızca sahte hesaplar satarak Microsoft'un hizmet şartlarını ihlal etmekle kalmıyor, aynı zamanda Arkose Labs müşterilerine kasıtlı olarak zarar vermeyi ve güvenlik önlemlerini atlatmak amacıyla meşru kullanıcılar gibi davranarak kurbanları aldatmayı amaçlıyor.
Bu web sitesinin sahtekarlıkla elde edilmiş Microsoft hesaplarını satmaya çalışması nedeniyle Microsoft tarafından başlatılan etki alanı el koyma işleminin ekran görüntüsü
Storm-1152'nin faaliyetlerine ilişkin analizimiz; tespit, analiz, telemetri, gizli test satın alımları ve ABD'de barındırılan kötü niyetli altyapıyı belirlemek için tersine mühendisliği içeriyordu. Microsoft Tehdit Analizi ve Arkose Siber Tehdit Analizi Araştırma birimi (ACTIR), yasal durumumuzu güçlendirecek ek veri ve içgörüler sağladı.
Araştırmamız kapsamında Storm-1152'nin operasyonlarını yöneten ve Vietnam’da bulunan aktörler Duong Dinh Tu, Linh Van Nguyễn (Nguyễn Van Linh olarak da bilinir) ve Tai Van Nguyen’in kimliklerini teyit etmeyi başardık. Bulgularımız, bu kişilerin yasadışı web sitelerinin kodunu yazdığını ve bu siteleri işlettiğini, video eğitimleri aracılığıyla ürünlerinin nasıl kullanılacağına dair ayrıntılı adım adım talimatlar yayımladıklarını ve dolandırıcılık hizmetlerini kullananlara yardımcı olmak için sohbet hizmetleri sağladıklarını göstermektedir.
Microsoft, bunu öğrendikten sonra ABD kolluk kuvvetlerine suç duyurusunda bulunmuştur. Müşterilerimize zarar vermek isteyenleri adalete teslim edebilecek olan kolluk kuvvetleriyle birlikte çalıştığımız için minnettarız.
Duong Dinh Tu'nun YouTube kanalında güvenlik önlemlerini aşmak için "nasıl yapılır videoları" yer alıyor.
Bugünkü eylem, Microsoft'un geniş kapsamlı siber suç ekosistemini, ve siber suçluların saldırılarını başlatmak için kullandıkları araçları hedef alma stratejisinin bir devamı niteliğindedir. Temelinde de kötü amaçlı yazılımları ve ulus-devlet operasyonlarını sekteye uğratmada başarıyla kullanılan, bizim de kapsamını genişlettiğimiz yasal bir yöntem yatıyor. Ayrıca dolandırıcılık konusunda istihbarat paylaşımını artırmak ve sahte hesapları hızla tespit edip işaretleyen yapay zeka ve makine öğrenimi algoritmalarımızı daha da geliştirmek için sektördeki diğer kuruluşlarla ortaklık kurduk.
Daha önce de söylediğimiz gibi, hiçbir aksaklık bir günde çözülemez. Siber suçların peşine düşmek, sabır ve yeni kötü niyetli altyapıları bozmak için sürekli tetikte olmayı gerektirir. Bugün yapılan yasal eylem Storm-1152'nin faaliyetlerini etkileyecek olsa da diğer tehdit aktörlerinin de bunu baz alarak tekniklerini değiştirmelerini bekliyoruz. Siber suçların etkisini anlamlı bir şekilde azaltmak istiyorsak kamu ve özel sektörün, bugün Arkose Labs ve ABD kolluk kuvvetlerinin yaptığı gibi işbirliğine devam etmesi elzemdir.
Microsoft Güvenlik'i takip edin