Europol, siber suçluların kurbanların ağlarına sızmak için kullandığı yaklaşık 600 Cobalt Strike sunucusunun “Morpheus Operasyonu” adı verilen uluslararası bir operasyonla devre dışı bıraktı. Operasyona, ABD, Almanya, Avustralya, Hollanda, Kanada ve Polonya’dan kolluk kuvvetleri katıldı ve İngiliz polisi liderlik etti.
Europol tarafından koordine edilen operasyon, üç yıl önce, 2021’de başlayan karmaşık bir soruşturmanın sonucunda yapıldı. Cobalt Strike yazılımı, bir şirketin ağındaki güvenlik açıklarını bulmak ve siber güvenliği artırmak için kullanılan bir sızma (penetrasyon) test aracı.
24-28 haziran haftasında, kolluk kuvvetleri, suç faaliyetleriyle ilişkilendirilen IP adreslerini ve suç grupları tarafından kullanılan saldırı altyapısının parçası olan alan adlarını tespit etti.
Operasyonun bir sonraki aşamasında toplanan bilgiler, aracın lisanssız versiyonlarını devre dışı bırakmaları için çevrimiçi hizmet sağlayıcılarına iletildi. 27 ülkede 129 internet servis sağlayıcısında bulunan 690 ayrı kötü amaçlı Cobalt Strike yazılımına karşı işlem yapıldı. Haftanın sonunda bu adreslerden 593’ü kapatıldı.
Uluslararası operasyona, BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch ve The Shadowserver Foundation gibi özel sektör ortakları da katılarak, siber suç kampanyalarında kullanılan Cobalt Strike sunucularını tespit etmek için gelişmiş tarama, telemetri ve analitik yetenekleriyle yardım sağladılar.
Europol’ün EC3’ü kolluk kuvvetleri ile özel ortaklar arasında 40’tan fazla koordinasyon toplantısı düzenledi. Eylem haftası boyunca Europol, dünya çapında kolluk kuvvetlerinin eylemlerini koordine etmek için sanal bir komuta merkezi kurdu.
Nisan 2023’te Microsoft, Fortra ve Sağlık Bilgi Paylaşımı ve Analiz Merkezi (Health-ISAC), siber suçluların kullandığı Cobalt Strike’ın kırılmış kopyalarını barındıran sunuculara yönelik geniş kapsamlı bir yasal işlem başlatacaklarını duyurmuştu.
Cobalt Strike, Fortra (eski adıyla Help Systems) tarafından on yıldan uzun bir süre önce kırmızı takımların ağ altyapısını güvenlik açıkları açısından taraması için meşru bir ticari sızma (penetrasyon) testi aracı olarak yayınlandı. Ancak tehdit aktörleri yazılımın kırılmış kopyalarını elde etti ve bu da onu veri hırsızlığı ve fidye yazılımı saldırılarında en yaygın kullanılan araçlardan biri haline getirdi.
Saldırganlar, istismar sonrası saldırı aşamasında, hacklenmiş ağlara kalıcı uzaktan erişim sağlayan ve hassas verileri çalmaya veya ek kötü amaçlı yükler bırakmaya yardımcı olan işaretler yerleştirmek için Cobalt Strike’ı kullandılar.
Microsoft, Rusya, Çin, Vietnam ve İran gibi yabancı hükümetler adına faaliyet gösteren çeşitli devlet destekli tehdit aktör ve bilgisayar korsanı gruplarının Cobalt Strike’ın kırılmış sürümlerini kullandığını söylüyor.
Kaynak : 