Europol, siber suçluların kurbanların ağlarına sızmak için kullandığı yaklaşık 600 Cobalt Strike sunucusunun devre dışı bırakılmasına yol açan Morpheus Operasyonu olarak bilinen ortak bir kolluk kuvveti eylemini koordine etti.
Haziran ayının sonlarında bir hafta içerisinde kolluk kuvvetleri, suç faaliyetleriyle ilişkilendirilen bilinen IP adreslerini ve suç grupları tarafından kullanılan saldırı altyapısının parçası olan alan adlarını tespit etti.
Operasyonun bir sonraki aşamasında toplanan bilgiler, aracın lisanssız versiyonlarını devre dışı bırakmaları için çevrimiçi hizmet sağlayıcılarına iletildi.
Europol’den yapılan açıklamada, “Kobalt Strike kırmızı takım aracının eski, lisanssız versiyonları, 24-28 Haziran tarihleri arasında Europol merkezinden koordineli olarak gerçekleştirilen bir haftalık eylem sırasında hedef alındı” denildi.
“27 ülkedeki çevrimiçi hizmet sağlayıcılarına toplam 690 IP adresi işaretlendi. Haftanın sonunda bu adreslerden 593’ü kapatıldı.”
Morpheus Operasyonu’na Avustralya, Kanada, Almanya, Hollanda, Polonya ve ABD’den kolluk kuvvetleri katıldı ve operasyon Birleşik Krallık Ulusal Suç Ajansı tarafından yönetildi.
BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch ve The Shadowserver Foundation gibi özel sektör ortakları da bu uluslararası kolluk kuvvetleri operasyonu sırasında desteklerini sunarak, siber suç kampanyalarında kullanılan Cobalt Strike sunucularını tespit etmek için gelişmiş tarama, telemetri ve analitik yetenekleriyle yardım sağladılar.
Europol tarafından koordine edilen bu yıkıcı eylem, üç yıl önce, 2021’de başlayan karmaşık bir soruşturmanın doruk noktasıdır.
Europol, “Soruşturma boyunca, yaklaşık 1,2 milyon tehlike göstergesi içeren 730’dan fazla tehdit istihbaratı paylaşıldı” ifadelerini kullandı.
“Ek olarak, Europol’ün EC3’ü kolluk kuvvetleri ile özel ortaklar arasında 40’tan fazla koordinasyon toplantısı düzenledi. Eylem haftası boyunca Europol, dünya çapında kolluk kuvvetlerinin eylemlerini koordine etmek için sanal bir komuta merkezi kurdu.”
Fidye yazılımı saldırılarında ve siber casusluk kampanyalarında kullanılır
Nisan 2023’te Microsoft, Fortra ve Sağlık Bilgi Paylaşımı ve Analiz Merkezi (Health-ISAC), siber suçluların başlıca bilgisayar korsanlığı araçlarından biri olan Cobalt Strike’ın kırılmış kopyalarını barındıran sunuculara yönelik geniş kapsamlı bir yasal işlem başlatacaklarını duyurdu.
Cobalt Strike, Fortra (eski adıyla Help Systems) tarafından on yıldan uzun bir süre önce kırmızı takımların ağ altyapısını güvenlik açıkları açısından taraması için meşru bir ticari penetrasyon testi aracı olarak yayınlandı. Ancak tehdit aktörleri yazılımın kırılmış kopyalarını elde etti ve bu da onu veri hırsızlığı ve fidye yazılımı saldırılarında en yaygın kullanılan araçlardan biri haline getirdi.
Saldırganlar, istismar sonrası saldırı aşamasında, tehlikeye atılmış ağlara kalıcı uzaktan erişim sağlayan ve hassas verileri çalmaya veya ek kötü amaçlı yükler bırakmaya yardımcı olan işaretler yerleştirmek için Cobalt Strike’ı kullanır.
Microsoft, Rusya, Çin, Vietnam ve İran gibi yabancı hükümetler adına faaliyet gösteren çeşitli devlet destekli tehdit aktörleri ve bilgisayar korsanı gruplarının Cobalt Strike’ın kırılmış sürümlerini kullandığını söylüyor.
Kasım 2022’de Google Cloud Threat Intelligence ekibi, savunmacıların ağlarındaki Cobalt Strike bileşenlerini tespit etmelerine yardımcı olmak için bir dizi tehlike göstergesi (IOC) ve 165 YARA kuralını da açık kaynaklı hale getirdi.