Operation Morpheus: offline 593 server Cobalt Strike

Operation Morpheus: offline 593 server Cobalt Strike

Le forze dell'ordine di vari paesi hanno messo offline 593 server che ospitavano copie pirata di Cobalt Strike usate per l'accesso remoto alle reti.
Operation Morpheus: offline 593 server Cobalt Strike
Le forze dell'ordine di vari paesi hanno messo offline 593 server che ospitavano copie pirata di Cobalt Strike usate per l'accesso remoto alle reti.

Al termine di una lunga indagine iniziata nel 2021, guidata dalla National Crime Agency del Regno Unito e coordinata da Europol, le forze dell’ordine hanno smantellato una rete composta da centinaia di server utilizzati per distribuire una versione pirata di Cobalt Strike. Il noto tool di sicurezza viene spesso sfruttato per accedere da remoto a computer e installare malware.

Messi offline 593 server

Cobalt Strike è un popolare e legittimo tool, sviluppato da Fortra, che consente di simulare attacchi e individuare eventuali vulnerabilità nelle reti. Da oltre 10 anni, vecchie versioni pirata del software vengono utilizzate dai cybercriminali durante le attività di “post-exploitation” per ottenere la persistenza nella rete compromessa (in pratica una backdoor).

Con l’aiuto di alcuni partner privati, tra cui BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch e The Shadowserver Foundation, sono stati individuati 690 indirizzi IP di server che ospitavano versioni pirata di Cobalt Strike. Tra il 24 e il 28 giugno sono stati messi offline 593 server.

Europol ha fornito una piattaforma, denominata Malware Information Sharing Platform, che ha permesso alle aziende private di condividere informazioni in tempo reale con le forze dell’ordine. Oltre al Regno Unito sono stati coinvolti altri sei paesi nell’indagine Operation Morpheus: Australia, Canada, Germania, Olanda, Polonia e Stati Uniti. I server erano posizionati in Bulgaria, Estonia, Finlandia, Lituania, Giappone e Corea del Sud.

Le versioni pirata di Cobalt Strike sono utilizzate spesso da gruppi di cybercriminali che effettuano attacchi di cyberspionaggio per conto di vari paesi, tra cui Russia, Cina, Vietnam e Iran.

Fonte: Europol
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
4 lug 2024
Link copiato negli appunti