Un dezvoltator pe care cercetătorii îl urmăresc acum sub numele de Greasy Opal, operând ca o afacere aparent legitimă, a alimentat industria cybercrime-as-a-service cu un instrument care trece peste soluțiile de securitate ale contului și permite rezolvarea CAPTCHA-urilor de către roboți la scară largă.
Greasy Opal este activ de aproape două decenii și își ajustează instrumentele în funcție de nevoile de targetare ale clienților. Software-ul său a fost folosit pentru a viza guvernele și diferite companii și servicii tehnologice (de exemplu, Amazon, Apple, Steam, Joomla, Facebook, WhatsApp, Vkontakte).
Printre clienții lui Greasy Opal se numără grupul de cybercrime bazat în Vietnam cunoscut sub numele de Storm-1152, care a creat aproximativ 750 de milioane de conturi Microsoft pentru a le vinde diferiților actori de amenințare, inclusiv Scattered Spider.
Cercetătorii de la Arkose Labs, o companie de prevenire a fraudelor care oferă soluții de detectare a roboților, au observat că instrumentele lui Greasy Opal sunt folosite de diferiți actori răi de ani de zile și oferă acum o privire asupra operațiunilor actorului.
Actorul pare să fi creat un site web pentru a-și promova instrumentul de bypass CAPTCHA pe clear web din cel puțin 2016, dar BleepingComputer a descoperit că acesta era deja folosit în 2008 și era capabil să treacă peste controalele CAPTCHA ale Microsoft pentru Hotmail (actualul Outlook) de atunci.
Mai mult, instrumentul, pe care actorul îl numește „cel mai bun rezolvator de CAPTCHA din lume”, a avut mai multe iterații majore și este actualizat în mod regulat pentru a se adapta la noile tipuri de CAPTCHA-uri.
Raportul de la Arkose Labs notează că instrumentul este foarte eficient și se bazează pe tehnologia avansată de recunoaștere optică a caracterelor (OCR) combinată cu modele de învățare automată „pentru a rezolva cu mare acuratețe CAPTCHA-urile textuale în general și instrumente mai concentrate pentru alte CAPTCHA-uri textuale populare.”
CEO-ul Arkose Labs, Kevin Gosschalk, a declarat pentru BleepingComputer că Greasy Opal probabil dezvoltă intern tehnologia de OCR de ultimă generație pentru analiza și interpretarea CAPTCHA-urilor bazate pe text.
Greasy Opal oferă două versiuni ale rezolvitorului său de CAPTCHA, una gratuită care este mai lentă și mai puțin precisă, și o versiune plătită, despre care dezvoltatorul spune că vine cu o acuratețe de identificare a imaginii de 90-100% și poate recunoaște obiecte în mai puțin de o secundă.
Potrivit cercetătorilor, motivația actorului este pur financiară și nu îi pasă cine sunt clienții săi atâta timp cât plătesc pentru produs.
„[…] atacatorii pot achiziționa toolkit-ul lui Greasy Opal pentru 70 de dolari. Pentru 100 de dolari în plus, clienții pot face upgrade la versiunea beta. Indiferent de versiune, Greasy Opal cere clienților să plătească un abonament lunar suplimentar de 10 dolari” – Arkose Labs
Cel mai scump pachet care include toate instrumentele costă 190 de dolari plus abonamentul lunar de 10 dolari, un preț foarte mic pentru ceea ce oferă, în ciuda numărului restricționat de instalări permise.
Există și un pachet de ediție business care costă 300 de dolari și permite un număr ușor mai mare de instalări. Taxa lunară se aplică și în acest caz.
Cu sute de atacatori individuali folosind instrumentele, cercetătorii estimează că Greasy Opal a avut venituri de cel puțin 1,7 milioane de dolari anul trecut.
Deși nu este direct implicat în atacuri, actorul este conștient că instrumentele sale sunt folosite pentru activități ilegale, dar menține o fațadă legitimă plătind taxe pentru afacere.
În ciuda informațiilor contradictorii de pe site-ul lui Greasy Opal – care menționează într-un loc că afacerea a început în 2007 și în altul anul este 2005, este sigur că unele dintre instrumente au o istorie de aproape 20 de ani.
Arkose Labs crede că actorul operează din Cehia, furnizând operațiuni de cybercrime-as-a-business (CaaB) cu instrumente pentru spam, promovarea conținutului pe rețelele sociale și SEO negru, instrumente tipice pentru promovarea conținutului la scară largă.
După ce Microsoft a perturbat activitatea Storm-1152 prin confiscarea a mai multor domenii, Arkose Labs a putut analiza software-ul dezvoltat de Greasy Opal și folosit în atacuri.
Deși unele dintre software-uri ar putea fi percepute ca utilitare în scopuri de marketing, cercetătorii au descoperit că rezolvitorul CAPTCHA a fost dezvoltat pentru a viza organizații specifice.
Unii dintre țintele sunt serviciile publice și guvernamentale din Rusia (Circulația Rutieră de Stat, Sistemul Unificat de Navigație și Informații din Moscova, Serviciul Fiscal, Executorul Judecătoresc Federal, Pașaportul Electronic), Brazilia (Secretariatul de Infrastructură) și SUA (Departamentul de Stat Biroul Afacerilor Consulare).
Printre entitățile mai importante din sectorul tech pe care rezolvitorul de CAPTCHA al lui Greasy Opal s-a concentrat sunt Amazon, Apple, Steam, Joomla, Facebook, WhatsApp, GMX, Vkontakte, Yandex, World of Tanks.
Gosschalk a descris Greasy Opal ca fiind un dezvoltator de software „foarte inteligent, cu etică scăzută” interesat doar de a face bani.
Chiar dacă nu desfășoară atacuri, rolul lui Greasy Opal în lanțul de aprovizionare al cybercriminalilor este semnificativ, deoarece permite actorilor de amenințare cu abilități reduse să automatizeze atacuri masive împotriva întreprinderilor din întreaga lume.
Leave a Reply