Dünya çapındaki kolluk kuvvetleri, siber suçlular tarafından sıklıkla kötüye kullanılan bir araç olan Cobalt Strike’ın yetkisiz sürümlerini çalıştıran 593 sahte sunucuyu başarıyla kapattı.
“Operasyon Morpheus” kod adlı operasyon, İngiltere Ulusal Suç Ajansı (NCA) tarafından yönetildi ve Europol tarafından koordine edildi. Katılan ajanslar arasında FBI, Avustralya Federal Polisi ve Kraliyet Kanada Atlı Polisi vardı.
2012 yılında Raphael Mudge tarafından geliştirilen ve şu anda Fortra’ya ait olan Cobalt Strike, penetrasyon testleri ve kırmızı takım operasyonları için tasarlanmış meşru bir siber güvenlik aracıdır.
Güvenlik uzmanlarının ağlardaki güvenlik açıklarını belirlemek ve azaltmak için siber saldırıları simüle etmelerine olanak tanır. Ancak güçlü yetenekleri, fidye yazılımı ve veri hırsızlığı gibi gerçek saldırılar gerçekleştirmek için korsan sürümler kullanan siber suçlular arasında onu favori haline getirmiştir.
Cobalt Strike’ın yasal ve yasadışı kullanımı arasındaki temel farklar, amaç, lisanslama, dağıtım yöntemleri ve kullanılan kaynaklarda yatmaktadır.
Yasal kullanım, yetkili ve etik testler yoluyla siber güvenlik savunmalarını güçlendirmeyi hedeflerken, yasadışı kullanım, aracın yeteneklerini kötü niyetli amaçlar için kullanarak kuruluşlara ve bireylere önemli zararlar verir.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
Uluslararası Operasyon
24 Haziran 2024’te başlayan bir haftalık operasyonda, 27 ülkede 129 internet servis sağlayıcısına ait 690 kötü amaçlı Cobalt Strike yazılımı hedef alındı.
Operasyonun sonunda bu vakalardan 593’ü, sunucuların kapatılması ve İSS’lere ağlarındaki kötü amaçlı yazılımlar konusunda uyarı gönderilerek kötüye kullanım bildirimleri yoluyla etkisiz hale getirildi.
NCA’da Tehdit Liderliği Direktörü olan Paul Foster, operasyonun önemini vurguladı: “Cobalt Strike meşru bir yazılım parçası olmasına rağmen, ne yazık ki siber suçlular kötü amaçlar için kullanımını istismar ettiler. Yasadışı sürümleri siber suçlara giriş engelini düşürmeye yardımcı oldu ve çevrimiçi suçluların çok az veya hiç teknik uzmanlık olmadan zararlı fidye yazılımı ve kötü amaçlı yazılım saldırıları gerçekleştirmesini kolaylaştırdı”.
Morpheus Operasyonu’nun başarısı büyük ölçüde kolluk kuvvetleri ile özel sektör ortakları arasındaki kapsamlı işbirliğinden kaynaklanıyordu.
BAE Systems Digital Intelligence, Trellix, Shadowserver, Spamhaus ve Abuse CH gibi şirketler, Cobalt Strike’ın kötü amaçlı örneklerini belirleme ve raporlamada önemli roller oynadı.
Operasyonda ayrıca gerçek zamanlı tehdit istihbaratını paylaşmak için Kötü Amaçlı Yazılım Bilgi Paylaşım Platformu kullanıldı ve yaklaşık 1,2 milyon tehlike göstergesinin belirlenmesine katkıda bulunuldu.
Bu sunucuların devre dışı bırakılmasının, saldırıları için Cobalt Strike’a güvenen siber suçluların operasyonlarını önemli ölçüde aksatması bekleniyor. Ancak uzmanlar bunun yalnızca geçici bir aksaklık olabileceği konusunda uyarıyor.
Yasadışı Cobalt Strike operasyonlarının engellenmesi, gerçek zamanlı tehdit istihbaratı paylaşımı, ağ taraması, aktif araştırma, İSS’lerle işbirliği, doğrudan sunucu kapatma ve uluslararası koordinasyonu içeren çok yönlü bir çabadır.
Siber suçlular, dayanıklılıkları ve hızlı uyum sağlama yetenekleriyle tanınırlar; genellikle saldırıların ardından kısa bir süre sonra yeni bir altyapı kurarlar.
Cobalt Strike’ın arkasındaki şirket olan Fortra, yazılımının kötüye kullanılmasını önleme çabalarını sürdürmeyi taahhüt etti. Bu, aracın eski, lisanssız sürümlerini tespit etmek ve internetten kaldırmak için kolluk kuvvetleriyle yakın bir şekilde çalışmayı içerir.
Morpheus Operasyonu, siber suçlara karşı devam eden mücadelede önemli bir zaferi temsil ediyor.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files