İngiltere Ulusal Suç Ajansı (NCA), FBI ve Avustralya, Kanada ve Avrupa Birliği’nden kurumlar da dahil olmak üzere dünyanın dört bir yanındaki ortak kurumlarla birlikte, siber suç faaliyetlerini mümkün kılmak için Cobalt Strike penetrasyon testi aracını kullanan kullanıcılara karşı bir dizi yaptırım eylemi başlattı.
Morpheus Operasyonu geçen hafta, yaklaşık 30 ülkede 129 internet servis sağlayıcısında (İSS) düzenlenen 690 ayrı Cobalt Strike vakasına karşı harekete geçti. Yazının yazıldığı sırada, NCA’nın koalisyonu, sunucuları kendileri devre dışı bırakarak ve İSS’lere kötü amaçlı yazılım barındırdıklarını bildirerek onları harekete geçmeye zorlayarak bu kötü amaçlı vakaların 593’ünü etkisiz hale getirmeyi başardı.
Cobalt Strike birçok kişi tarafından meşru bir şekilde satılıp kullanılmasına rağmen (aslında şu anda Fortra’nın mülkiyetindedir), geliştiricisi Raphael Mudge tarafından yaratıldığı yıllardan bu yana siber saldırı düzenlemek isteyen siber suçluların da başvurduğu araç haline gelmiştir.
Bu tür aktörler için Cobalt Strike’ın korsan veya lisanssız sürümlerini edinmek veya eski sürümlerini kırmak ve yeteneklerini kullanarak kurbanlarının BT sistemlerine ve ağlarına hızla sızmak, fidye yazılımı ve diğer siber saldırıları gerçekleştirmek nispeten kolaydır.
NCA’ya göre, Cobalt Strike’ın yasadışı versiyonu son yılların en büyük siber saldırılarının bazılarında ve Ryuk ve Conti gibi çok sayıda fidye yazılımı çetesi tarafından kullanıldı.
“Cobalt Strike meşru bir yazılım parçası olmasına rağmen, ne yazık ki siber suçlular kötü amaçlar için kullanımını istismar ettiler,” dedi NCA tehdit liderliği direktörü Paul Foster. “Yasadışı sürümleri siber suçlara giriş engelini düşürmeye yardımcı oldu ve çevrimiçi suçluların çok az veya hiç teknik uzmanlığa sahip olmadan zararlı fidye yazılımı ve kötü amaçlı yazılım saldırıları başlatmasını kolaylaştırdı. Bu tür saldırılar şirketlere kayıplar ve kurtarma açısından milyonlarca dolara mal olabilir.
“Bu tür uluslararası kesintiler, operasyonlarının temelini oluşturan araçları ve hizmetleri ortadan kaldırarak en zararlı siber suçluları çökertmenin en etkili yoludur. Siber suç mağduru olabilecek tüm işletmeleri öne çıkıp bu tür olayları kolluk kuvvetlerine bildirmeye davet ediyorum.”
Cobalt Strike’ın bana karşı kullanılmasını nasıl durdurabilirim?
Siber suçluların kullandığı birçok araçta olduğu gibi, BT ve güvenlik uzmanlarının Cobalt Strike’a karşı kullanabileceği en önemli silah, siber güvenlik hijyeninin temellerine dikkat etmek ve bunları kuruluşları genelinde iletmektir.
Cobalt Strike genellikle potansiyel kurbanın bir bağlantıya tıklamasını veya kötü amaçlı bir eki açmasını sağlamaya çalışan bir mızraklı kimlik avı veya spam e-postası yoluyla gelir – bu daha sonra siber suçluya tehlikeye atılmış sisteme uzaktan erişim sağlayan bir Cobalt Strike işareti yükler, böylece işe koyulabilirler. Bu nedenle e-posta güvenlik önlemlerini ve politikalarını uygulamak ve yürürlüğe koymak ilk ve en iyi seçenektir.
Fortra ayrıca, yazılımın eski sürümlerini tespit etmek ve internetten kaldırmak için kolluk kuvvetleri ve güvenlik sektörüyle çalışmaya devam etme taahhüdünde bulundu.