Jednostka Microsoftu ds. przestępstw cyfrowych (DCU) odniosło istotne zwycięstwo w walce z półświatkiem cyberprzestępczym po poprowadzeniu operacji mającej na celu przejęcie 240 fałszywych stron internetowych używanych przez obywatela Egiptu – dziś nazywanego Abanoub Nady – który pod marką sprzedawał zestawy do phishingu typu „zrób to sam” ONNX do mniej wprawnych oszustów.
Nady, która używała klamki MRxD0DER, zarówno opracowała, jak i sprzedała phishing jako usługa zestawy narzędzi, które były wykorzystywane w wielu kampaniach przeciwko klientom Microsoftu z różnych sektorów, chociaż przyjmuje się, iż branża usług finansowych była najbardziej celem ataków.
DCU uważa, iż e-maile pochodzące z „rodziny produktów” ONNX stanowiły znaczną część z dziesiątek do setek milionów phishingów wychwytywanych co miesiąc w sieci Microsoftu – prawdopodobnie znajdowały się w pierwszej piątce tego typu operacji na świecie.
Redmond stwierdził, iż atakując ONNX, zakłóca nielegalny łańcuch dostaw cyberprzestępców i chroni klientów przed zagrożeniami na dalszych etapach, takimi jak oszustwa, kradzież danych i oprogramowanie ransomware.
„To działanie opiera się na strategii DCU polegającej na zakłócaniu szerszego ekosystemu cyberprzestępczego i atakowaniu narzędzi, których cyberprzestępcy używają do przeprowadzania ataków.” – wyjaśnił zastępca głównego radcy prawnego Microsoft DCU, Stephen Masada.
„Naszym celem we wszystkich przypadkach jest ochrona klientów poprzez odcięcie złych aktorów od infrastruktury wymaganej do działania oraz powstrzymanie przyszłych zachowań cyberprzestępczych poprzez znaczne podniesienie barier wejścia i kosztów prowadzenia działalności.
„Dołącza do nas współpowódka LF (Linux Foundation) Projects, LLC, właściciel znaku towarowego faktycznie zarejestrowanej nazwy i logo ONNX. ONNX lub Otwórz wymianę sieci neuronowych to otwarty format standardowy i środowisko uruchomieniowe typu open source do reprezentowania modeli uczenia maszynowego, umożliwiające interoperacyjność między różnymi sprzętami, frameworkami i narzędziami w celu łatwiejszego wdrażania i skalowalności” – powiedział.
„Wspólnie podejmujemy działania afirmatywne, aby chronić użytkowników Internetu na całym świecie, zamiast stać bezczynnie, gdy złośliwi przestępcy nielegalnie wykorzystują nasze nazwy i logo, aby zwiększyć postrzeganą zasadność swoich ataków”.
Masada powiedział, iż DCU jednostronnie zdecydowało się nadać imię Nady, aby miało to stanowić dalszy środek odstraszający dla innych.
Rzecznik prasowy Fundacja Linuksa powiedział: „W Linux Foundation opowiadamy się za współpracą jako potężnym narzędziem pozwalającym stawić czoła złożonym wyzwaniom. Dziś świętujemy naszą niedawną współpracę z firmą Microsoft w celu ochrony milionów osób i organizacji przed globalną operacją przestępczą związaną z phishingiem jako usługą. Zachęcamy organizacje, które mogą walczyć z jednym elementem problemu cyberprzestępczości, do określenia sposobów współpracy i zbudowania silniejszej zbiorowej reakcji”.
Microsoft w tej sprawie
Ostatnie miesiące widziały znaczny wzrost w wyrafinowanych atakach phishingowych typu adversary-in-the-middle (AitM), takich jak te organizowane za pośrednictwem ONNX w ostatnich miesiącach, zwłaszcza gwałtowny wzrost tak zwanego quishingu – phishing z wykorzystaniem złośliwych kodów QR.
Jednak działania Microsoftu przeciwko ONNX są w rzeczywistości wynikiem długiego dochodzenia rozpoczętego w 2017 r. Microsoft twierdzi, iż na przestrzeni lat śledził różne „przedsiębiorstwa” Nady, w tym inne operacje phishingowe znane jako Caffeine i FUHRER.
Wszystkie jego zestawy zostały zaprojektowane do wysyłania e-maili na dużą skalę w ramach skoordynowanych kampanii, a ONNX był sprzedawany w modelu opartym na subskrypcji z różnymi poziomami dostępu i wsparcia, choćby poziomem VIP dla najbardziej wymagających przestępców, którzy korzystali z wszechstronnego wsparcie techniczne zegara oferujące wskazówki krok po kroku.
ONNX był głównie promowany, sprzedawany i konfigurowany za pośrednictwem platformy komunikacyjnej Telegram, wraz z filmami demonstracyjnymi. Po zakupie klienci mogli organizować ataki przy użyciu dostarczonych szablonów i oszukańczej infrastruktury technicznej ONNX, w ramach której mogli łączyć złośliwe domeny uzyskane z innego źródła.
Na mocy postanowienia sądu cywilnego, odpieczętowanego dzisiaj we wschodnim dystrykcie Wirginii, Microsoft przejął tę infrastrukturę techniczną, uniemożliwiając jej wykorzystanie na potrzeby przyszłych ataków.
Więcej wkrótce
Niestety, jak zauważył Masada, chociaż działanie DCU w znacznym stopniu zakłóci działanie ONNX, pewne jest, iż inni ugrupowania zagrażające wypełnią lukę dzięki dostosowanych technik.
„Jednak podjęcie działań wysyła mocny sygnał do tych, którzy decydują się na powielanie naszych usług, aby wyrządzić szkodę użytkownikom w Internecie: będziemy aktywnie szukać środków zaradczych, aby chronić nasze usługi i naszych klientów oraz stale ulepszamy nasze strategie techniczne i prawne, aby uzyskać większy wpływ” – dodał. powiedział.
„Co więcej, w miarę jak cyberprzestępcy stale rozwijają swoje metody, niezwykle ważne jest, aby organizacje i osoby prywatne pozostawały na bieżąco i zachowywały czujność. Rozumiejąc taktykę stosowaną przez cyberprzestępców i wdrażając solidne środki bezpieczeństwa, możemy wspólnie pracować na rzecz bezpieczniejszego środowiska cyfrowego. Ciągła współpraca, taka jak partnerstwo z LF Projects, pozostaje niezbędna, jeżeli chcemy znacząco zmniejszyć krajobraz zagrożeń cybernetycznych”.
