Alte und unlizenzierte Versionen von Cobalt Strike, das eigentlich legitime Testtool von Pentestern und Red-Teams, sind in den Händen von Cyberangreifern. Um dem entgegenzuwirken hat Europol in Operation MORPHEUS fast 600 IP-Adressen von Server in 27 Ländern vom Netz genommen.
Die Strafverfolgungsbehörden haben sich mit dem privaten Sektor zusammengetan, um den Missbrauch eines legitimen Sicherheitstools durch Kriminelle zu bekämpfen, die damit in die IT-Systeme der Opfer eindringen. Ältere, nicht lizenzierte Versionen des Red-Teaming-Tools Cobalt Strike wurden während einer vom Europol-Hauptquartier koordinierten Aktion ins Visier genommen.
690 IP-Adressen in 27 Ländern abgeschaltet
Die Strafverfolgungsbehörden markierten bekannte IP-Adressen, die mit kriminellen Aktivitäten in Verbindung gebracht wurden, sowie eine Reihe von Domänennamen, die von kriminellen Gruppen verwendet wurden, damit Online-Dienstanbieter nicht lizenzierte Versionen des Tools deaktivieren konnten. Insgesamt wurden 690 IP-Adressen an Online-Dienstanbieter in 27 Ländern markiert. Bis zum Ende der Woche waren 593 dieser Adressen entfernt worden.
Diese als Operation MORPHEUS bekannte Untersuchung wurde von der britischen National Crime Agency geleitet und umfasste Strafverfolgungsbehörden aus Australien, Kanada, Deutschland, den Niederlanden, Polen und den Vereinigten Staaten. Europol koordinierte die internationale Aktivität und stand in Verbindung mit den privaten Partnern. Diese disruptive Aktion markiert den Höhepunkt einer komplexen Untersuchung, die 2021 eingeleitet wurde.
Cobalt Strike: Missbrauch durch Cyberkriminelle
Cobalt Strike ist ein beliebtes kommerzielles Tool des Cybersecurity-Softwareunternehmens Fortra. Es wurde entwickelt, um legitimen IT-Sicherheitsexperten dabei zu helfen, Angriffssimulationen durchzuführen, die Schwachstellen in Sicherheitsoperationen und Vorfallreaktionen identifizieren. In den falschen Händen können jedoch nicht lizenzierte Kopien von Cobalt Strike einem böswilligen Akteur eine breite Palette von Angriffsmöglichkeiten bieten.
Fortra hat erhebliche Maßnahmen ergriffen, um den Missbrauch seiner Software zu verhindern, und hat während der gesamten Untersuchung mit den Strafverfolgungsbehörden zusammengearbeitet, um die legitime Verwendung seiner Tools zu schützen. In seltenen Fällen haben Kriminelle jedoch ältere Versionen von Cobalt Strike gestohlen und gecrackte Kopien erstellt, um sich über Hintertüren Zugriff auf Maschinen zu verschaffen und Malware zu installieren. Solche nicht lizenzierten Versionen des Tools wurden mit mehreren Malware- und Ransomware-Untersuchungen in Verbindung gebracht, darunter die zu RYUK, Trickbot und Conti.
Zusammenarbeit mit Security-Unternehmen
Die Zusammenarbeit mit dem privaten Sektor war für den Erfolg dieser disruptiven Aktion von entscheidender Bedeutung. Eine Reihe von Partnern aus der Privatwirtschaft unterstützten die Aktion, darunter BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch und The Shadowserver Foundation. Diese Partner setzten verbesserte Scan-, Telemetrie- und Analysefunktionen ein, um bösartige Aktivitäten und deren Nutzung durch Cyberkriminelle zu identifizieren.
Mehr bei Europol.Europa.eu