Міжнародна коаліція правоохоронних органів вжила заходів проти сотень інсталяцій програмного забезпечення Cobalt Strike, інструменту тестування на проникнення, яким, як відомо, зловживали як фінансовані державою, так і злочинні хакери, залучені в екосистему програм-вимагачів.
Британське національне агентство боротьби зі злочинністю (NCA) оголосило в середу, що воно координує глобальні дії проти інструменту, вирішуючи 690 IP-адрес, на яких розміщені незаконні екземпляри програмного забезпечення в 27 країнах.
Cobalt Strike, який зараз належить компанії під назвою Fortra, був розроблений у 2012 році для моделювання того, як хакери проникають у мережі жертв. Однак він працює настільки добре — спрощує процеси, пов’язані зі спробою проникнення в мережу жертви — що піратські версії інструменту широко розгортаються справжніми зловмисниками протягом останнього десятиліття.
Ці дії відбуваються в той момент, коли правоохоронні органи продовжують боротися з угрупованнями програм-вимагачів, націлюючись на слабкі місця екосистеми — вражаючи ланки ланцюга, що може мати каскадні наслідки, наприклад захоплення куленепробивного хостинг-провайдера LolekHosted.
Окрім законних користувачів і тих, хто працює з програмами-вимагачами, Cobalt Strike також використовували хакери, пов’язані з урядами Росії, Китаю та Північної Кореї.
«З середини 2010-х років піратські та неліцензійні версії програмного забезпечення, завантажені зловмисниками з нелегальних ринків і темної мережі, завоювали репутацію «вихідного» інструменту для вторгнення в мережу для тих, хто хоче створити кібератаку, дозволяючи їм розгортати програми-вимагачі зі швидкістю та в масштабах», – заявило NCA.
Найчастіше неліцензійні версії Cobalt Strike використовуються у фішингових електронних листах, спрямованих на встановлення маяка на цільовому пристрої. Потім цей маяк дозволяє зловмиснику створювати профіль і віддалено отримувати доступ до мережі жертви.
Однак його багатофункціональний характер, включаючи структуру для керування хакерською командною та контрольною інфраструктурою, робить інструмент «швейцарським армійським ножем кіберзлочинців і національних державних акторів», як описав Дон Сміт, віце-президент із дослідження загроз у Secureworks Counter Threats. одиниця
«Cobalt Strike вже давно є інструментом вибору для кіберзлочинців, зокрема як попередник програм-вимагачів. Його також розгортають суб’єкти національної держави, напр. Російська та китайська – для сприяння вторгненню в кампанії кібершпигунства. Використовуваний як плацдарм, він довів свою ефективність у забезпеченні чорного ходу для жертв, щоб сприяти вторгненню в кампанії кібершпигунства», – сказав Сміт.
За даними NCA, акція проти незаконного використання програмного забезпечення відбулася минулого тижня та включала видалення серверів, а також надсилання «повідомлень про зловживання» провайдерам, щоб попередити їх про те, що вони можуть розміщувати шкідливе програмне забезпечення.
Пол Фостер, директор із управління загрозами в NCA, підкреслив, що Cobalt Strike є «законним програмним забезпеченням», але, «на жаль, кіберзлочинці використовували його в негідних цілях».
«Незаконні його версії допомогли знизити бар’єр для проникнення в кіберзлочинність, полегшивши онлайн-злочинцям розв’язувати шкідливі атаки програм-вимагачів і зловмисного програмного забезпечення з невеликим або без технічного досвіду», — сказав Фостер.
«Подібні міжнародні збої — це найефективніший спосіб принизити найшкідливіших кіберзлочинців шляхом усунення інструментів і сервісів, які лежать в основі їх діяльності», — додав директор NCA.
Незважаючи на дії правоохоронних органів, «загроза від програм-вимагачів залишається всюдисущою, і хоча цей збій можна вітати, у злочинців і державних діячів майже напевно буде план Б», — сказав Сміт із Secureworks.
Fortra пообіцяла продовжувати співпрацю з правоохоронними органами для виявлення та видалення старіших версій свого програмного забезпечення з Інтернету. NCA відкликало попередню заяву про те, що компанія випустила нову версію програмного забезпечення з «посиленими заходами безпеки».
«Fortra вжила значних заходів для запобігання зловживанню своїм програмним забезпеченням і співпрацювала з правоохоронними органами під час цього розслідування, щоб захистити законне використання своїх інструментів», — заявив Європол.
«Однак у рідкісних випадках злочинці викрадали старіші версії Cobalt Strike, створюючи зламані копії, щоб отримати бекдорний доступ до машин і розгорнути шкідливе програмне забезпечення. Такі неліцензійні версії інструменту були пов’язані з кількома розслідуваннями зловмисного програмного забезпечення та програм-вимагачів, зокрема щодо RYUK, Trickbot і Conti».
Cobalt Strike: міжнародна правоохоронна операція бореться з незаконним використанням інструменту пентестування «швейцарського ножа».
