Ein Entwickler, der von Forschern als Greasy Opal bezeichnet wird und als scheinbar seriöses Unternehmen agiert, hat die Cybercrime-as-a-Service-Branche mit einem Tool angeheizt, das Kontosicherheitslösungen umgeht und die Lösung von CAPTCHAs durch Bots in großem Umfang ermöglicht.
Greasy Opal ist seit fast zwei Jahrzehnten aktiv und schneidet seine Tools auf die Bedürfnisse der Kunden zu. Die Software wurde bereits für das Targeting von Regierungen und verschiedenen Technologieunternehmen und -diensten (z. B. Amazon, Apple, Steam, Joomla, Facebook, WhatsApp, Vkontakte) eingesetzt.
Zu den Kunden von Greasy Opal gehört die in Vietnam ansässige Cybercrime-Gruppe Storm-1152, die rund 750 Millionen Microsoft-Konten erstellt hat, um sie an verschiedene Bedrohungsakteure, darunter Scattered Spider, zu verkaufen.
Versierte Entwickler
Forscher von Arkose Labs, einem Unternehmen für Betrugsbekämpfung, das Lösungen zur Erkennung von Bots anbietet, haben beobachtet, dass die Tools von Greasy Opal seit Jahren von verschiedenen bösartigen Akteuren verwendet werden, und geben nun einen Einblick in die Arbeitsweise der Akteure.
Der Akteur scheint mindestens seit 2016 eine Website eingerichtet zu haben, um sein CAPTCHA-Umgehungstool im Internet zu vermarkten. BleepingComputer fand jedoch heraus, dass es bereits 2008 verwendet wurde und damals in der Lage war, die CAPTCHA-Kontrollen von Microsoft für Hotmail (das heutige Outlook) zu umgehen.
Darüber hinaus wurde das Tool, das der Schauspieler als "den besten Captcha-Löser der Welt" bezeichnet, mehrfach überarbeitet und wird regelmäßig aktualisiert, um sich an neue Arten von CAPTCHAs anzupassen.
Der Bericht von Arkose Labs stellt fest, dass das Tool sehr effizient ist und auf fortschrittlicher optischer Zeichenerkennungstechnologie (OCR) in Kombination mit maschinellen Lernmodellen beruht, um mit hoher Genauigkeit Text-CAPTCHAs im Allgemeinen und gezieltere Tools für andere spezifische beliebte Text-CAPTCHAS zu lösen".
Kevin Gosschalk, CEO von Arkose Labs, erklärte gegenüber BleepingComputer, dass Greasy Opal wahrscheinlich die hochmoderne OCR-Technologie zur Analyse und Interpretation von textbasierten CAPTCHAs selbst entwickelt.
Greasy Opal bietet zwei Versionen seines CAPTCHA-Lösers an: eine kostenlose Version, die langsamer und weniger genau ist, und eine kostenpflichtige Version, die nach Angaben des Entwicklers eine Bildidentifizierungsgenauigkeit von 90-100% bietet und Objekte in weniger als einer Sekunde erkennen kann.
Geld verdienen und Steuern zahlen
Den Forschern zufolge ist die Motivation des Akteurs rein finanziell und es ist ihm egal, wer seine Kunden sind, solange sie für das Produkt bezahlen.
"[...] Angreifer können das Toolkit von Greasy Opal für US$70 erwerben. Für zusätzliche US$100 können Kunden ein Upgrade auf die Beta-Version erhalten. Unabhängig von der Version verlangt Greasy Opal von den Kunden eine zusätzliche monatliche Gebühr von US$10" - Arkose Labs
Das teuerste Paket, in dem alle Tools zusammengefasst sind, kostet $190 plus das monatliche Abonnement $10, ein sehr niedriger Preis für das, was sie bieten, trotz der begrenzten Anzahl der erlaubten Installationen.
Es gibt auch ein Business-Edition-Bundle, das $300 kostet und eine etwas höhere Anzahl von Installationen erlaubt. Die monatliche Gebühr gilt auch für dieses Paket.
Da Hunderte von einzelnen Angreifern die Tools nutzen, schätzen die Forscher, dass Greasy Opal im vergangenen Jahr einen Umsatz von mindestens $1,7 Millionen erzielt hat.
Der Akteur ist zwar nicht direkt in Angriffe verwickelt, weiß aber, dass seine Werkzeuge für illegale Aktivitäten verwendet werden, und wahrt eine legitime Fassade, indem er Steuern für das Unternehmen zahlt.
Je nach Bedarf der Kunden CAPTCHA
Trotz der widersprüchlichen Angaben auf der Website von Greasy Opal - an einer Stelle heißt es, dass das Unternehmen 2007 gegründet wurde, an anderer Stelle wird das Jahr 2005 genannt - ist es sicher, dass einige der Werkzeuge fast 20 Jahre alt sind.
Arkose Labs geht davon aus, dass der Akteur von der Tschechischen Republik aus operiert und Cybercrime-as-a-Business (CaaB)-Operationen wahllos mit Tools für Spamming, Werbung für Inhalte in sozialen Netzwerken und Black SEO, typischen Tools für die Verbreitung von Inhalten in großem Umfang, versorgt.
Nachdem Microsoft die Aktivitäten von Storm-1152 durch die Beschlagnahmung mehrerer seiner Domains unterbrochen hatte, konnte Arkose Labs die von Greasy Opal entwickelte und bei Angriffen verwendete Software analysieren.
Obwohl einige der Software als Hilfsmittel für Marketingzwecke betrachtet werden könnten, stellten die Forscher fest, dass der CAPTCHA-Löser für bestimmte Organisationen entwickelt wurde.
Einige der Ziele sind öffentliche und staatliche Dienste in Russland (staatlicher Verkehr, Moskauer einheitliches Navigations- und Informationssystem, Steuerbehörde, Gerichtsvollzieher, elektronischer Reisepass), Brasilien (Ministerium für Infrastruktur) und den USA (Büro für konsularische Angelegenheiten des Außenministeriums).
Zu den prominenteren Unternehmen im Tech-Sektor, auf die sich der CAPTCHA-Löser von Greasy Opal konzentrierte, gehören Amazon, Apple, Steam, Joomla, Facebook, WhatsApp, GMX, Vkontakte, Yandex, World of Tanks.
Gosschalk beschrieb Greasy Opal als einen "sehr intelligenten, wenig ethischen" Softwareentwickler, der nur daran interessiert ist, Geld zu verdienen.
Auch wenn Greasy Opal die Angriffe nicht ausführt, spielt es eine wichtige Rolle in der Lieferkette der Cyberkriminellen, da es wissentlich wenig qualifizierten Bedrohungsakteuren ermöglicht, massive Angriffe auf Unternehmen in aller Welt zu automatisieren.
