Koordineli bir şekilde yapılan bir operasyonda, kolluk kuvvetleri ve siber güvenlik firmaları, siber suçluların meşru bir güvenlik aracı olan Cobalt Strike’ı kötüye kullanmasını engellemek için güçlerini birleştirdi. Kod adı MORPHEUS olan ve İngiltere Ulusal Suç Ajansı tarafından yönetilen bir haftalık operasyon, kurban ağlarına sızmak için kullanılan lisanssız Cobalt Strike sürümlerini hedef aldı.
Altı ülkeden yetkililerin de dahil olduğu operasyonun koordinasyonuna yardımcı olan Europol, suç faaliyetleriyle bağlantılı toplam 690 IP adresinin işaretlendiğini söyledi. Haftanın sonunda, lisanssız Cobalt Strike olaylarıyla ilişkili bu adreslerin %85’inden fazlası (593) 27 ülkedeki internet servis sağlayıcıları (İSS’ler) tarafından devre dışı bırakıldı.
Cobalt Strike: Çift Taraflı Kılıç
Fortra’nın ticari olarak satılan bir aracı olan Cobalt Strike, etik hacker’lar tarafından penetrasyon testi için kullanılır – bir ağın savunmalarındaki zayıflıkları belirlemek için siber saldırıları simüle eder. Ancak, kötü niyetli aktörlerin elinde, Cobalt Strike’ın lisanssız sürümleri güçlü bir silaha dönüşür.
“2010’ların ortalarından bu yana, suçluların yasadışı pazar yerlerinden ve karanlık web’den indirdiği korsan ve lisanssız yazılım sürümleri, siber saldırı düzenlemek isteyenler için ‘başvurulacak’ ağ saldırı aracı olarak ün kazandı ve bu sayede fidye yazılımlarını hızla ve büyük ölçekte dağıtmalarına olanak tanıdı.” – İngiltere’nin NCA’sı
Siber suçlular genellikle Cobalt Strike’ı mızraklı kimlik avı e-postaları aracılığıyla dağıtır ve kurbanları kötü amaçlı bağlantılara tıklamaya veya virüslü ekleri açmaya kandırır. Bir kurban tıkladığında, saldırgana tehlikeye atılmış sisteme uzaktan erişim sağlayan bir “Beacon” yüklenir. Bu erişim, onların bilgi hırsızları aracılığıyla veri çalmasına veya daha fazla saldırı başlatmasına olanak tanır.
Suçlular ayrıca bu kırılmış kopyaları kullanarak tehlikeye atılmış sistemlerde arka kapılar kuruyor ve kötü amaçlı yazılım dağıtıyor. Özellikle, Ryuk, Trickbot ve Conti gibi fidye yazılımı türlerine yönelik soruşturmalar bunları lisanssız Cobalt Strike kullanımına bağladı, Europol söyledi.
Ulusal Suç Ajansı’nda tehdit liderliği direktörü olan Paul Foster, “Cobalt Strike meşru bir yazılım parçası olmasına rağmen, ne yazık ki siber suçlular kötü amaçlar için kullanımını istismar ettiler. Yasadışı sürümleri siber suçlara giriş engelini düşürmeye yardımcı oldu ve çevrimiçi suçluların çok az veya hiç teknik uzmanlık olmadan zararlı fidye yazılımı ve kötü amaçlı yazılım saldırıları düzenlemesini kolaylaştırdı.” dedi.
Foster, bu tür saldırıların şirketlere milyonlarca dolarlık zarar ve kurtarma maliyetine yol açabileceği konusunda uyardı.
Kamu-Özel Sektör Ortaklığı: Kazanan Bir Formül
MORPHEUS Operasyonu’nun başarısı, kolluk kuvvetleri ile özel sektör arasındaki benzeri görülmemiş iş birliğine dayanmaktadır. BAE Systems Digital Intelligence, Trellix, Spamhaus ve The Shadowserver Foundation gibi kilit sektör ortakları önemli destek sağlamıştır. Tehdit istihbaratı, ağ taraması ve veri analizindeki uzmanlıkları, kötü niyetli faaliyetleri belirlemede ve siber suç altyapısını belirlemede etkili olmuştur.
Bu iş birliği, Europol’ün son düzenleyici değişikliklerinin doğrudan bir sonucudur ve ajansın özel kuruluşlarla daha etkili bir şekilde çalışmasını sağlar. Bu yeni yaklaşım, Europol’e gerçek zamanlı tehdit istihbaratına erişim ve siber suç taktikleri hakkında daha geniş bir anlayış sağlar. Bu, daha koordineli ve kapsamlı bir yanıt anlamına gelir ve nihayetinde Avrupa genelinde genel siber güvenlik duruşunu güçlendirir.
Europol’ün Avrupa Siber Suç Merkezi (EC3), tüm ortaklar arasında kesintisiz bilgi alışverişini kolaylaştırırken analitik ve adli destek sunarak soruşturma boyunca önemli bir rol oynadı; FBI, Avustralya Federal Polisi ve diğer ulusal kurumlar ise kritik destek sağladı.
Son iki buçuk yıldır kolluk kuvvetleri, özel sektörle gerçek zamanlı tehdit istihbarat paylaşımını kolaylaştırmak için Kötü Amaçlı Yazılım Bilgi Paylaşım Platformu’nu (MISP) kullandı. Soruşturma sırasında yaklaşık 1,2 milyon uzlaşma göstergesi (IOC) içeren yaklaşık 730 istihbarat raporu paylaşıldı. Ayrıca EC3, kolluk kuvvetleri ile özel ortaklar arasında sorunsuz bir iş birliği sağlamak için 40’tan fazla koordinasyon toplantısı düzenledi. Europol, küresel kolluk kuvvetleri faaliyetlerini koordine etmek için kaldırma haftasında sanal bir komuta merkezi bile kurdu.
Mücadele Devam Ediyor
MORPHEUS Operasyonu önemli bir zaferi temsil etse de, siber suça karşı savaş henüz bitmedi. Kolluk kuvvetleri, suçlular meşru güvenlik araçlarındaki zaafları istismar etmeye devam ettiği sürece benzer yıkıcı eylemler gerçekleştirmeye hazır ve tetikte kalmaya devam ediyor.
Cobalt Strike’ın geliştiricisi Fortra da, geliştirilmiş güvenlik önlemlerine sahip yeni bir sürüm yayınladı ve eski, güvenlik açığı bulunan sürümleri dolaşımdan kaldırmak için kolluk kuvvetleriyle işbirliği yapmaya kararlı.