Trong một thông báo mới đây trên blog của mình vào ngày 13/12, Microsoft đã chính thức đệ đơn tố cáo tới cơ quan thực thi pháp luật ở Mỹ liên quan đến ba cá nhân có tên là Duong Dinh Tu, Linh Van Nguyen và Tai Van Nguyen. Những cá nhân này được xác định đang sinh sống tại Việt Nam và liên quan đến một tổ chức được gọi là Storm-1152.
Tổ chức này chuyên cung cấp nguồn tài nguyên để thực hiện các hành vi lừa đảo trực tuyến, bao gồm cả hàng trăm triệu tài khoản từ các dịch vụ như Hotmail và Outlook của Microsoft. Nhóm này vận hành một trang web chuyên về việc bán các tài khoản này, cùng với việc cung cấp các công cụ vượt qua mã Captcha cũng như sử dụng các kênh truyền thông trên mạng xã hội để quảng cáo dịch vụ của họ.
Theo các chuyên gia, các tài khoản trực tuyến là một nguồn tài nguyên quan trọng cho các cuộc tấn công mạng. Với số lượng lớn như vậy, chúng có thể hỗ trợ tội phạm mạng tự động hóa các cuộc tấn công, đồng thời làm khó cho các nền tảng trong việc phát hiện và ngăn chặn các tài khoản không đúng.
"Cho đến nay, Storm-1152 đã tạo ra và tiêu thụ khoảng 750 triệu tài khoản Microsoft để phục vụ cho các hoạt động lừa đảo, mang lại cho nhóm hàng triệu USD doanh thu bất hợp pháp," Microsoft viết trong thông cáo của họ. Hành động của nhóm cũng gây khó khăn và gây chi phí lớn cho các công ty trong việc chống lại tội phạm mạng.
Nhờ dịch vụ của Storm-1152, các nhóm hacker có thể nhanh chóng có được hàng nghìn tài khoản, thay vì phải tự tạo. "Điều này cho phép tội phạm tập trung vào mục tiêu chính của chúng là lừa đảo, gửi thư rác, ransomware cũng như các hình thức lừa đảo và lạm dụng khác. Các tổ chức như Storm-1152 giúp tội phạm mạng thực hiện các hành vi xấu một cách hiệu quả và năng suất hơn", Microsoft viết.
Theo điều tra, những tài khoản Storm-1152 cung cấp cho hacker được phát hiện trong nhiều chiến dịch đánh cắp dữ liệu và mã hóa tống tiền của các nhóm như Octo Tempest và một số chiến dịch khác từ năm 2021.
Sau khi phát hiện, các chuyên gia an ninh mạng của Microsoft cùng một bên thứ ba là Arkose Labs đã thực hiện phân tích, mua thử dịch vụ cũng như một số kỹ thuật đặc biệt để phát hiện nhóm đứng sau và cơ sở hạ tầng của nhóm. Ngoài các cá nhân bị nêu tên, hiện tên miền website của nhóm này đã bị thu giữ bởi Microsoft, theo lệnh từ tòa án Mỹ. Một kênh YouTube chuyên hướng dẫn sử dụng dịch vụ trên YouTube cũng đã bị đổi tên.
Kevin Gosschalk, Giám đốc điều hành của Arkose Labs cho biết, Storm-1152 nguy hiểm bởi họ hoạt động như một nhà cung cấp dịch vụ Internet thông thường dù dịch vụ của nhóm là cánh cửa dẫn đến các vụ tấn công mạng nghiêm trọng. Kẻ xấu có thể dễ dàng tìm kiếm dịch vụ của họ trên cả vùng tối và vùng sáng của Internet.
Hiện, Microsoft cũng đã thu hồi tên miền website của nhóm này, theo lệnh từ tòa án Mỹ. Một kênh YouTube chuyên hướng dẫn sử dụng dịch vụ của nhóm trên YouTube cũng đã bị đổi tên.
Ngoài ra, hoạt động bán tài khoản lừa đảo, "giả vờ" là người dùng bình thường để vượt qua các biện pháp bảo mật của các dịch vụ trực tuyến của nhóm cũng vi phạm điều khoản dịch vụ của Microsoft.