Trong thông báo trên blog công ty hôm 13/12, Microsoft cho biết đã gửi đơn tố cáo đến cơ quan thực thi pháp luật tại Mỹ đối với ba cá nhân gồm Duong Dinh Tu, Linh Van Nguyen và Tai Van Nguyen. Những người này được xác định sống tại Việt Nam, đứng sau một tổ chức có tên Storm-1152.
Tổ chức này chuyên cung cấp tài nguyên phục vụ việc lừa đảo mạng, gồm tài khoản trực tuyến số lượng lớn từ dịch vụ Hotmail, Outlook của Microsoft. Nhóm này vận hành một website chuyên bán tài khoản, một số trang bán các công cụ vượt qua bước nhập mã Captcha, và một số kênh truyền thông trên mạng xã hội để quảng cáo dịch vụ.
Theo các chuyên gia, tài khoản trực tuyến là tài nguyên quan trọng trong việc tấn công mạng. Với số lượng lớn, chúng có thể giúp tội phạm mạng tự động hóa việc tấn công, ngoài ra cũng khiến các nền tảng gặp thách thức trong việc phát hiện và ngăn chặn tài khoản xấu.
“Đến nay, Storm-1152 đã tạo và bán khoảng 750 triệu tài khoản Microsoft phục vụ lừa đảo, mang lại cho nhóm hàng triệu USD doanh thu bất hợp pháp”, thông báo của Microsoft viết. Ngoài ra, hành động của nhóm cũng khiến hãng và các công ty khác gặp khó khăn, tốn kém trong việc chống lại tội phạm mạng.
Nhờ dịch vụ của Storm-1152, các nhóm hacker có thể nhanh chóng có được hàng nghìn tài khoản, thay vì phải tự tạo. “Điều này cho phép tội phạm tập trung vào mục tiêu chính của chúng là lừa đảo, gửi thư rác, ransomware cũng như các hình thức lừa đảo và lạm dụng khác. Các tổ chức như Storm-1152 giúp tội phạm mạng thực hiện các hành vi xấu một cách hiệu quả và năng suất hơn”, Microsoft viết.
Theo điều tra, những tài khoản Storm-1152 cung cấp cho hacker được phát hiện trong nhiều chiến dịch đánh cắp dữ liệu và mã hóa tống tiền của các nhóm như Octo Tempest và một số chiến dịch khác từ năm 2021.
Sau khi phát hiện, các chuyên gia an ninh mạng của Microsoft cùng một bên thứ ba là Arkose Labs đã thực hiện phân tích, mua thử dịch vụ cũng như một số kỹ thuật đặc biệt để phát hiện nhóm đứng sau và cơ sở hạ tầng của nhóm. Ngoài các cá nhân bị nêu tên, hiện tên miền website của nhóm này đã bị thu giữ bởi Microsoft, theo lệnh từ tòa án Mỹ. Một kênh YouTube chuyên hướng dẫn sử dụng dịch vụ trên YouTube cũng đã bị đổi tên.
Kevin Gosschalk, Giám đốc điều hành của Arkose Labs, đánh giá sự nguy hiểm của Storm-1152 là việc họ hoạt động như một nhà cung cấp dịch vụ Internet thông thường và có thể dễ dàng tìm kiếm được cả trên vùng tối và vùng sáng của Internet. Dịch vụ của nhóm là cánh cửa dẫn đến các vụ tấn công mạng nghiêm trọng.
Ngoài ra, hoạt động này cũng vi phạm điều khoản dịch vụ của Microsoft do bán tài khoản lừa đảo, “giả vờ” là người dùng bình thường để vượt qua các biện pháp bảo mật của các dịch vụ trực tuyến.
Lưu Quý