Al termine di una lunga indagine iniziata nel 2021, guidata dalla National Crime Agency del Regno Unito e coordinata da Europol, le forze dell’ordine hanno smantellato una rete composta da centinaia di server utilizzati per distribuire una versione pirata di Cobalt Strike. Il noto tool di sicurezza viene spesso sfruttato per accedere da remoto a computer e installare malware.
Messi offline 593 server
Cobalt Strike è un popolare e legittimo tool, sviluppato da Fortra, che consente di simulare attacchi e individuare eventuali vulnerabilità nelle reti. Da oltre 10 anni, vecchie versioni pirata del software vengono utilizzate dai cybercriminali durante le attività di “post-exploitation” per ottenere la persistenza nella rete compromessa (in pratica una backdoor).
Con l’aiuto di alcuni partner privati, tra cui BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch e The Shadowserver Foundation, sono stati individuati 690 indirizzi IP di server che ospitavano versioni pirata di Cobalt Strike. Tra il 24 e il 28 giugno sono stati messi offline 593 server.
Europol ha fornito una piattaforma, denominata Malware Information Sharing Platform, che ha permesso alle aziende private di condividere informazioni in tempo reale con le forze dell’ordine. Oltre al Regno Unito sono stati coinvolti altri sei paesi nell’indagine Operation Morpheus: Australia, Canada, Germania, Olanda, Polonia e Stati Uniti. I server erano posizionati in Bulgaria, Estonia, Finlandia, Lituania, Giappone e Corea del Sud.
Le versioni pirata di Cobalt Strike sono utilizzate spesso da gruppi di cybercriminali che effettuano attacchi di cyberspionaggio per conto di vari paesi, tra cui Russia, Cina, Vietnam e Iran.