Microsoft’un Dijital Suçlar Birimi (DCU), Fortra ve Health-ISAC arasındaki yakın tarihli bir işbirliği, Cobalt Strike’ın crackli ve yasa dışı sürümlerini barındıran sunucuları hedef alan önemli bir yasal baskıyla sonuçlandı.
Tehdit aktörleri bu aracı aktif olarak kullandıkları için Cobalt Strike, hackleme için en önemli araçlarından biridir.
Kendini güvenlik araçlarının meşru kullanımını korumaya adamış bir şirket olarak Fortra, bu tür bir kullanımı korumak için bu hayati eylemi üstlenmiştir.
Ek olarak, Microsoft, hizmetlerinin ve ürünlerinin yasal olarak kullanılmasını sağlamak için benzer bir yaklaşım benimser.
İzlenmesi gereken en zorunlu şey, şu anda dünya çapında barındırılan Cobalt Strike’ın kırık kopyalarının kaldırılmasında ısrarcı olmaktır.
Kesinti Planı
Microsoft, Fortra ve Health-ISAC’ın tehdit aktörlerinin tüm kötü niyetli altyapısını yok etmesine ve ele geçirmesine izin vermek amacıyla ABD New York Doğu Bölgesi Bölge Mahkemesi tarafından 31 Mart 2023’te bir mahkeme emri çıkarıldı.
İlgili CERT’lerin ve ISP’lerin yardımını almanın nihai amacı, tüm kötü amaçlı altyapıyı işlevsiz hale getirmektir.
Bunun dışında Microsoft ve Fortra, aşağıdakileri içeren derinlemesine bir araştırma analizi gerçekleştirdi:-
- Tespit etme
- Analiz
- telemetri
- Tersine mühendislik
- Ek veriler ve içgörüler
Cobalt Strike’ın eski korsan kopyalarının kullanımını kesintiye uğratarak, suçlunun bu yasa dışı sürümlerden para kazanma ve siber saldırılar için kullanma yeteneği önemli ölçüde kısıtlanacaktır.
Sonuç olarak, bu hamle suçluları taktiklerini yeniden incelemeye ve yeni alternatifler aramaya zorlayacaktır.
Fidye Yazılımı Çeteleri ve Bilgisayar Korsanları Aktif Olarak Cobalt Strike’tan Yararlanıyor
Cobalt Strike başlangıçta meşru bir ticari penetrasyon testi aracı olarak tanıtıldı. Bu araç, temel olarak kırmızı ekiplerin güvenlik açıklarına karşı kurumsal altyapının güvenliğini değerlendirmesi için yayınlanmıştır.
On yıldan fazla bir süre önce 2012’de eski Yardım Sistemleri olan Fortra tarafından başlatılmıştı. Geliştiricinin özenli müşteri taramasına ve katı lisanslama politikasına rağmen, tehdit aktörleri yazılımın kırık kopyalarını ele geçirdi ve dağıttı.
Tehdit aktörleri bunu, işaretler konuşlandırıldıktan sonra istismar sonrası operasyonlarında kullanır.
Hassas verileri toplamak veya güvenliği ihlal edilmiş cihazlar aracılığıyla ek kötü amaçlı yükler bırakmak için bu işaretçiler tehdit aktörleri tarafından kullanılır ve hatta güvenliği ihlal edilmiş cihazlara kalıcı uzaktan erişim sağlarlar.
Dünya dışında, Microsoft tarafından Cobalt Strike için kötü amaçlı altyapı barındıran aşağıdaki ülkeler tespit edildi:-
- Çin
- Birleşik Devletler
- Rusya
Tüm bu suç faaliyetlerinin arkasında kimin olduğu henüz belirlenemedi; kısacası, kimlikleri bir sır olarak kalır.
Ayrıca, devlet destekli kuruluşlara ve bilgisayar korsanı gruplarına bağlı bilgisayar korsanları ve tehdit aktörlerinin, aşağıdakiler gibi yabancı hükümetlerin emriyle Cobalt Strike’ın kırık sürümlerini kullandıkları gözlemlenmiştir: –
- Rusya
- Çin
- Vietnam
- İran
Dünya çapında 19 ülkede sağlık kurumlarına yönelik 68’den fazla fidye yazılımı saldırısı gerçekleştirildi ve bu saldırılar, Cobalt Strike’ın kırık sürümlerinin kullanımıyla bağlantılı.
Microsoft, Fortra ve Health-ISAC’ın, bu tür güvenlik hizmetleri sağlamayı taahhüt ettikleri için ekosistemlerinin güvenliğini artırmak için aktif olarak yaptıkları birçok şey var.
Sonuç olarak, bu durumda aşağıdaki güvenlik kurumlarıyla da işbirliği yapacaklarını teyit ettiler:-
- FBI Siber Bölümü
- Ulusal Siber Soruşturma Ortak Görev Gücü (NCIJTF)
- Europol’ün Avrupa Siber Suç Merkezi (EC3)
Kuruluşlar neden Birleşik uç nokta yönetimine ihtiyaç duyar? – Ücretsiz E-kitaplar ve Teknik İncelemeler
İlgili Okuma: