Een ontwikkelaar, die onderzoekers nu volgen onder de naam Greasy Opal, opereert als een schijnbaar legitiem bedrijf en voedt de cybercrime-as-a-service industrie met een tool die accountbeveiligingsoplossingen omzeilt en het mogelijk maakt om op grote schaal CAPTCHA’s met bots op te lossen.

Greasy Opal is al bijna twee decennia actief en past zijn tools aan op basis van de doelwitten van zijn klanten. Zijn software is gebruikt om overheidsinstanties en verschillende technologiebedrijven en diensten (bijv. Amazon, Apple, Steam, Joomla, Facebook, WhatsApp, Vkontakte) aan te vallen.

Onder de klanten van Greasy Opal bevindt zich de in Vietnam gevestigde cybercriminelengroep die bekend staat als Storm-1152, die ongeveer 750 miljoen Microsoft-accounts heeft gecreëerd om te verkopen aan verschillende dreigingsactoren, waaronder Scattered Spider.

Vindingrijke ontwikkelaar

Onderzoekers van Arkose Labs, een fraudepreventiebedrijf dat oplossingen voor botdetectie aanbiedt, hebben jarenlang waargenomen hoe de tools van Greasy Opal door verschillende kwaadwillenden worden gebruikt en geven nu een kijkje in de operatie van de actor.

Het lijkt erop dat de actor sinds ten minste 2016 een website heeft gemaakt om zijn CAPTCHA-omzeiltool op het ‘cleane’ web te promoten, maar BleepingComputer ontdekte dat deze al in 2008 in gebruik was en in staat was om de CAPTCHA-controles van Microsoft voor Hotmail (het huidige Outlook) te kraken.

Bovendien heeft de tool, die de actor “de beste CAPTCHA-oplosser ter wereld” noemt, meerdere grote iteraties gehad en wordt regelmatig bijgewerkt om zich aan te passen aan nieuwe soorten CAPTCHA’s.

Het rapport van Arkose Labs merkt op dat de tool zeer efficiënt is en afhankelijk is van geavanceerde optische tekenherkenning (OCR) technologie in combinatie met machine learning-modellen “om tekst-CAPTCHA’s in het algemeen met hoge nauwkeurigheid op te lossen en meer gerichte tools voor andere specifieke populaire tekst-CAPTCHA’s.”

Arkose Labs CEO Kevin Gosschalk vertelde BleepingComputer dat Greasy Opal waarschijnlijk in-house technologie ontwikkelt voor het analyseren en interpreteren van tekstgebaseerde CAPTCHA’s.

Greasy Opal biedt twee edities van zijn CAPTCHA-oplosser aan: een gratis versie die langzamer en minder nauwkeurig is, en een betaalde versie waarvan de ontwikkelaar zegt dat deze een beeldherkenningsnauwkeurigheid van 90-100% heeft en objecten in minder dan een seconde kan herkennen.

Geld verdienen en belasting betalen

Volgens de onderzoekers is de motivatie van de actor puur financieel en maakt het hen niet uit wie hun klanten zijn, zolang ze maar betalen voor het product.

Het duurste pakket dat alle tools bundelt, kost $190 plus het maandelijkse abonnement van $10, een zeer lage prijs voor wat ze bieden, ondanks het beperkte aantal installaties dat is toegestaan.

Er is ook een business edition bundel die $300 kost en een iets hoger aantal installaties toestaat. De maandelijkse kosten gelden ook hiervoor.

Met honderden individuele aanvallers die de tools gebruiken, schatten de onderzoekers dat Greasy Opal vorig jaar een omzet van minstens $1,7 miljoen had.

Hoewel de actor niet direct betrokken is bij aanvallen, is hij zich bewust van het feit dat zijn tools worden gebruikt voor illegale activiteiten, maar hij behoudt een legitiem imago door belasting te betalen voor het bedrijf.

Volgens de CAPTCHA-behoeften van de klanten

Ondanks de tegenstrijdige informatie op de website van Greasy Opal – waar op de ene plek staat dat het bedrijf in 2007 is begonnen en op een andere plek het jaar 2005 wordt genoemd, is zeker dat sommige van de tools een geschiedenis van bijna 20 jaar hebben.

Arkose Labs gelooft dat de actor opereert vanuit Tsjechië en onpartijdig cybercrime-as-a-business (CaaB) operaties voorziet van tools voor spammen, contentpromotie op sociale netwerken, en zwarte SEO, typische tools voor het grootschalig pushen van content.

Nadat Microsoft de activiteiten van Storm-1152 had verstoord door verschillende van zijn domeinen in beslag te nemen, was Arkose Labs in staat om software te analyseren die door Greasy Opal is ontwikkeld en bij aanvallen werd gebruikt.

Hoewel sommige van de software kan worden gezien als hulpmiddelen voor marketingdoeleinden, ontdekten de onderzoekers dat de CAPTCHA-oplosser was ontwikkeld om specifieke organisaties te targeten.

Sommige van de doelwitten zijn publieke en overheidsdiensten in Rusland (Staatsverkeer, Moskou Geïntegreerd Navigatie- en Informatiesysteem, Belastingdienst, Federale Gerechtdeurwaarder, Elektronisch Paspoort), Brazilië (Secretariaat van Infrastructuur), en de VS (Departement van Staat Bureau voor Consulaire Zaken).

Onder de meer prominente entiteiten in de techsector waarop de CAPTCHA-oplosser van Greasy Opal zich richtte, bevinden zich Amazon, Apple, Steam, Joomla, Facebook, WhatsApp, GMX, Vkontakte, Yandex, World of Tanks.

Gosschalk beschreef Greasy Opal als een “zeer intelligente, laag morele” ontwikkelaar van software die alleen geïnteresseerd is in geld verdienen.

Ook al voeren ze de aanvallen niet zelf uit, de rol van Greasy Opal in de cybercriminelensupply chain is significant, omdat ze willens en wetens actoren met lage vaardigheden in staat stellen om massale aanvallen tegen bedrijven over de hele wereld te automatiseren.