Europol a coordonné une action policière conjointe connue sous le nom d'Opération Morpheus, qui a conduit au démantèlement de près de 600 serveurs Cobalt Strike utilisés par les cybercriminels pour infiltrer les réseaux des victimes.
Au cours d’une seule semaine fin juin, les forces de l’ordre ont identifié des adresses IP connues associées à des activités criminelles et des noms de domaine faisant partie d’infrastructures d’attaque utilisées par des groupes criminels.
Dans l’étape suivante de l’opération, les fournisseurs de services en ligne ont reçu les informations collectées pour désactiver les versions non autorisées de l’outil.
« Des versions plus anciennes et non autorisées de l'outil de red teaming Cobalt Strike ont été ciblées au cours d'une semaine d'action coordonnée depuis le siège d'Europol entre le 24 et le 28 juin », a déclaré Europol.
« Au total, 690 adresses IP ont été signalées aux fournisseurs de services en ligne dans 27 pays. À la fin de la semaine, 593 de ces adresses avaient été supprimées. »
L'opération Morpheus a impliqué les autorités chargées de l'application de la loi d'Australie, du Canada, d'Allemagne, des Pays-Bas, de Pologne et des États-Unis et a été dirigée par la National Crime Agency du Royaume-Uni.
Des partenaires du secteur privé comme BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch et The Shadowserver Foundation ont également offert leur soutien lors de cette opération internationale d'application de la loi, en fournissant une aide via leurs capacités améliorées d'analyse, de télémétrie et de numérisation pour identifier les serveurs Cobalt Strike utilisés dans les campagnes de cybercriminalité.
Cette action perturbatrice coordonnée par Europol est l’aboutissement d’une enquête complexe qui a débuté il y a trois ans, en 2021.
« Au cours de toute l'enquête, plus de 730 éléments de renseignements sur les menaces ont été partagés, contenant près de 1,2 million d'indicateurs de compromission », a ajouté Europol.
« En outre, l'EC3 d'Europol a organisé plus de 40 réunions de coordination entre les services répressifs et les partenaires privés. Au cours de la semaine d'action, Europol a mis en place un poste de commandement virtuel pour coordonner les actions des services répressifs à travers le monde. »
Utilisé dans les attaques de ransomware et les campagnes de cyberespionnage
En avril 2023, Microsoft, Fortra et le Health Information Sharing and Analysis Center (Health-ISAC) ont également annoncé une vaste répression juridique contre les serveurs hébergeant des copies piratées de Cobalt Strike, l'un des principaux outils de piratage des cybercriminels.
Cobalt Strike a été lancé par Fortra (anciennement Help Systems) il y a plus de dix ans en tant qu'outil de test de pénétration commercial légitime permettant aux équipes rouges d'analyser l'infrastructure réseau à la recherche de vulnérabilités de sécurité. Cependant, des acteurs malveillants ont obtenu des copies piratées du logiciel, ce qui en fait l'un des outils les plus utilisés dans les vols de données et les attaques par ransomware.
Les attaquants utilisent Cobalt Strike pendant la phase d'attaque post-exploitation pour déployer des balises qui fournissent un accès à distance persistant aux réseaux compromis et aident à voler des données sensibles ou à larguer des charges utiles malveillantes supplémentaires.
Microsoft affirme que divers acteurs malveillants et groupes de pirates informatiques soutenus par des États utilisent des versions piratées de Cobalt Strike alors qu'ils opèrent pour le compte de gouvernements étrangers, tels que la Russie, la Chine, le Vietnam et l'Iran.
En novembre 2022, l'équipe Google Cloud Threat Intelligence a également rendu open source une collection d'indicateurs de compromission (IOC) et 165 règles YARA pour aider les défenseurs à détecter les composants Cobalt Strike dans leurs réseaux.
