Europol a coordonat o acțiune comună de aplicare a legii cunoscută sub numele de Operațiunea Morpheus, care a condus la dezactivarea a aproape 600 de servere Cobalt Strike utilizate de infractorii cibernetici pentru a infiltra rețelele victimelor.
În timpul unei singure săptămâni la sfârșitul lunii iunie, forțele de aplicare a legii au identificat adrese IP cunoscute asociate cu activități criminale și nume de domenii care făceau parte din infrastructura de atac folosită de grupurile criminale.
În următoarea etapă a operațiunii, furnizorilor de servicii online li s-au furnizat informațiile colectate pentru a dezactiva versiunile neautorizate ale instrumentului.
„Versiunile mai vechi și neautorizate ale instrumentului de echipă de red teaming Cobalt Strike au fost vizate în timpul unei săptămâni de acțiune coordonată de la sediul Europolului între 24 și 28 iunie”, a declarat Europolul.
„Un total de 690 de adrese IP au fost semnalate furnizorilor de servicii online în 27 de țări. Până la sfârșitul săptămânii, 593 dintre aceste adrese fuseseră dezactivate”.
Operațiunea Morpheus a implicat autorități de aplicare a legii din Australia, Canada, Germania, Țările de Jos, Polonia și Statele Unite și a fost condusă de Agenția Națională de Combatere a Criminalității din Marea Britanie.
Parteneri din industria privată precum BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch și The Shadowserver Foundation au oferit, de asemenea, sprijinul lor în cadrul acestei operațiuni internaționale de aplicare a legii, oferind ajutor prin capacitatea lor îmbunătățită de scanare, telemetrie și analiză pentru a identifica serverele Cobalt Strike utilizate în campaniile infractorilor cibernetici.
Această acțiune perturbatoare coordonată de Europol reprezintă culminarea unei investigații complexe care a început acum trei ani, în 2021.
„Pe parcursul întregii investigații, au fost împărtășite peste 730 de informații despre amenințări conținând aproape 1,2 milioane de indicatori de compromitere”, a adăugat Europolul.
„În plus, EC3 Europol a organizat peste 40 de întâlniri de coordonare între agențiile de aplicare a legii și partenerii privați. În timpul săptămânii de acțiune, Europolul a înființat un post de comandă virtual pentru a coordona acțiunea de aplicare a legii pe tot globul”.
În aprilie 2023, Microsoft, Fortra și Centrul de Partajare a Informațiilor despre Sănătate și Analiză (Health-ISAC) au anunțat, de asemenea, o amplă acțiune legală împotriva serverelor care găzduiesc copii sparte ale Cobalt Strike, unul dintre principalele instrumente de hackerit ale infractorilor cibernetici.
Cobalt Strike a fost lansat de Fortra (anterior Help Systems) acum peste un deceniu ca un instrument legitim de testare a penetrării comerciale pentru echipele de red team pentru a scana infrastructura de rețea în căutarea vulnerabilităților de securitate. Cu toate acestea, actorii de amenințare au obținut copii sparte ale software-ului, făcându-l unul dintre cele mai utilizate instrumente în furtul de date și atacurile de ransomware.
Atacatorii folosesc Cobalt Strike în timpul etapei de atac de post-exploatare pentru a implementa balize care oferă acces remote persistent la rețelele compromise și ajută la furtul de date sensibile sau la plasarea de încărcături malitioase suplimentare.
Microsoft spune că diferiți actori de amenințare susținuți de stat și grupuri de hackeri utilizează versiuni sparte ale Cobalt Strike în timp ce acționează în numele guvernelor străine, cum ar fi Rusia, China, Vietnam și Iran.
În noiembrie 2022, echipa de informații despre amenințările Google Cloud a lansat în sursă deschisă o colecție de indicatori de compromitere (IOCs) și 165 de reguli YARA pentru a ajuta apărătorii să detecteze componente Cobalt Strike în rețelele lor.
Poliția confiscă peste 100 de servere încărcate cu malware, arestează patru infractori cibernetici
Europol confirmă violarea portalului web, spunând că nu s-au furat date operaționale
Leave a Reply