Küresel Operasyon Morpheus, Cobalt Strike ağını çökertiyor: Kolluk kuvvetleri, fidye yazılımları ve veri ihlalleri için kullanılan suç altyapısını çökertiyor.
Büyük bir uluslararası saldırıda, kolluk kuvvetleri ve özel şirketler, Cobalt Strike’a güvenen bir siber suçlular ağını çökertmek için güçlerini birleştirdi. Europol’ün Avrupa Siber Suç Merkezi (EC3) tarafından üç yıl önce Eylül 2021’de başlatılan Operasyon Morpheus, 24 Haziran ile 28 Haziran arasında kötü amaçlı Cobalt Strike dağıtımlarıyla bağlantılı yaklaşık 600 internet protokolü (IP) adresini hedef aldı.
İngiltere Ulusal Suç Ajansı (NCA), FBI ve Kanada, Almanya, Hollanda, Polonya ve Avustralya’dan kolluk kuvvetleri, ağı çökertmek için el ele verdi. Bunlar arasında: Avustralya Federal Polisi, Kraliyet Kanada Atlı Polisi, Alman Federal Kriminal Polisi Ofisi (Bundeskriminalamt), Hollanda Ulusal Polisi (Politie) ve Polonya Merkez Siber Suç Bürosu yer alıyor.
Özel ortaklar arasında BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch ve The Shadowserver Foundation yer aldı. Bu ortaklar, kanıt ve tehdit istihbaratı sunmak için Europol’ün Kötü Amaçlı Yazılım Bilgi Paylaşım Platformunu kullandı. Operasyon, 730’dan fazla tehdit istihbaratı parçasının ve yaklaşık 1,2 milyon tehlikeye işaret eden göstergenin paylaşılmasıyla sonuçlandı.
NCA’in açıklamasında, “Bu kesinti faaliyeti, NCA öncülüğündeki uluslararası kolluk kuvvetleri ve özel sektör arasında, kullanımını tespit etmek, izlemek ve kötülemek için iki buçuk yıldan fazla süren iş birliğini temsil ediyor” ifadeleri yer aldı.
Morpheus Operasyonu, suç faaliyetleriyle ilişkilendirilen bilinen IP adreslerini ve suç grupları tarafından kullanılan alan adlarını, Cobalt Strike’ın lisanssız sürümlerini devre dışı bırakmak amacıyla çevrimiçi hizmet sağlayıcılarına bildirmeyi içeriyordu.
Ajanslar 30 ülkede 129 İSS’nin elinde bulunan 690 Cobalt Strike örneğini hedef aldı. NCA’nın koalisyonu sunucuları kapatarak ve İSS’lere kötü amaçlı yazılımın barındırılmasını bildirerek 593 kötü amaçlı örneği etkisiz hale getirdi ve harekete geçmelerini sağladı.
Geliştirici Raphael Mudge tarafından yaratılan ve Fortra’ya ait bir penetrasyon test aracı olan Cobalt Strike, meşru bir yazılım olmasına rağmen fidye yazılımı dağıtma, veri çalma ve tehlikeye atılmış sistemler üzerinde kontrol sağlama konusundaki etkinliği nedeniyle siber suçlular tarafından tercih edilen yasadışı sürümleri haline geldi.
Cobalt Strike’ın yasadışı sürümleri, Ryuk, Trickbot ve Conti’nin saldırıları da dahil olmak üzere büyük siber saldırılarda kullanıldı. Trellix’in telemetrisine göre, Çin Cobalt Strike kaynaklarının %43,85’ine ev sahipliği yaparken, ABD %19,08’lik bir paya ve en yüksek saldırı yüküne (%45,04) sahip.
NCA’nın tehdit liderliği direktörü Paul Foster, yasadışı sürümlerin siber suçlara giriş engelini azalttığını ve çevrimiçi suçluların asgari teknik uzmanlıkla zarar verici saldırılar başlatmasına olanak tanıdığını savunuyor. Bu tür saldırılar şirketlere milyonlarca dolarlık zarar ve kurtarma maliyetine yol açabilir. Bu kaldırma, bu suç operasyonlarını sekteye uğratarak saldırılar başlatma ve kurbanları gasp etme yeteneklerini engelliyor.
ESET Küresel Siber Güvenlik Danışmanı Jake Moore, son gelişme hakkında yorum yaparak kolluk kuvvetlerinin rolünü övdü ve kimlik avıyla ilgili saldırılara vurgu yaptı. Jake, “NCA’nın uluslararası kurumlarla birlikte çalışması, suç şebekelerini çökertmek veya en azından yerlerinden etmek ve yasadışı faaliyetlerin gelişmesini zorlaştırmak için işbirlikçi bir yaklaşımın faydalı olabileceğini kanıtlıyor” dedi.
“Bu, bu yazılımın bir hedefli kimlik avı e-postasıyla başlamak üzere tasarlanmış olması nedeniyle kimlik avı saldırılarına karşı dikkatli olmanın öneminin bir başka hatırlatıcısıdır. Suçlu ve etik hacker’lar güvenliği test etmek ve güvenlik açıklarını istismar etmek için genellikle benzer veya hatta aynı araçları kullanırlar,” diye açıkladı.
İLGİLİ KONULAR
- Kaseya yamasının Cobalt Strike kötü amaçlı yazılımını düşürdüğünü iddia eden e-posta
- Mozi Botnet’i Yok Etme: IoT Zombi Botnet’ini Kim Öldürdü?
- ABD, Ünlü Warzone RAT Kötü Amaçlı Yazılım Operasyonunu Durdurdu
- Polis, Dark Web Pazar Yeri “Nemesis Market”i Kapattı
- MS Office’teki 7 Yıllık 0 Günlük Hatası Kobalt Saldırısını Düşürmek İçin Kullanıldı