Europol, Morpheus Operasyonu olarak adlandırılan ve Cobalt Strike’ın lisanssız sürümlerine yöneelik yıkıcı eylemin üç yıl önce başlayan çalışmaların doruk noktası olduğunu söyledi. Operasyon 24-28 Haziran tarihleri arasında özel sektördeki ortaklarla birlikte yürütüldü. Özel sektör bir hafta süren operasyona yardım etti ancak Çin’deki IP adreslerine dokunmadı.
Europol operasyonunun hedefinde olan Cobalt Strike aslında kendi ağınızda endüstriyel casusluğu simüle etmek, savunma önlemlerini test etmek ve kendi bilgisayar güvenliğinizi artırmak için esnek işlevlere sahip bir yazılımd. Bununla birlikte özellikle lisanssız sürümler, APT grupları veya fidye yazılımı çeteleri gibi gerçek saldırganlar tarafından da sıklıkla kullanılmakta.
Europol tarafından yapılan açıklamada, “Hafta boyunca kolluk kuvvetleri, suç faaliyetleriyle ilişkili bilinen IP adreslerini ve suç grupları tarafından kullanılan bir dizi alan adını, çevrimiçi hizmet sağlayıcılarının Cobalt Strike aracının lisanssız sürümlerini devre dışı bırakmaları için işaretledi” denildi ve eklendi: “27 ülkedeki çevrimiçi hizmet sağlayıcılara toplam 690 IP adresi işaretlendi. Hafta sonuna kadar bu adreslerden 593’ü kapatıldı.
Europol – özel sektör işbirliği
Yapılan açıklamada ayrıca “Bu soruşturma Birleşik Krallık Ulusal Suç Ajansı tarafından yürütülmüş ve Avustralya, Kanada, Almanya, Hollanda, Polonya ve Amerika Birleşik Devletleri’nden kolluk kuvvetleri de dahil edilmiştir. Europol uluslararası faaliyeti koordine etti ve özel sektör ortaklarıyla irtibat kurdu” deniliyor. BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch ve The Shadowserver Foundation dahil olmak üzere çeşitli özel sektör ortakları bir hafta süren operasyonları destekledi.
Ortaklar, Europol’ün Kötü Amaçlı Yazılım Bilgi Paylaşım Platformunu kullanarak kesinti çabalarını destekleyen kanıt ve tehdit istihbaratı gönderdiler. Avrupa polis teşkilatı, tüm operasyon boyunca 730’dan fazla tehdit istihbaratının yanı sıra yaklaşık 1.2 milyon uzlaşma göstergesinin paylaşıldığını söyledi.
Secureworks tehdit istihbaratı başkan yardımcısı Don Smith “Cobalt Strike siber suçluların ve ulus-devlet aktörlerinin İsviçre çakısıdır” dedi ve ekledi “Cobalt Strike uzun zamandır fidye yazılımlarının öncüsü de dahil olmak üzere siber suçlular için tercih edilen bir araç olmuştur. Ayrıca Rus ve Çinli [gruplar] gibi ulus-devlet aktörleri tarafından siber casusluk kampanyalarında izinsiz girişleri kolaylaştırmak için de kullanılmaktadır.”
Cobalt Strike özellikle Çin’de yoğun olarak kullanılıyor
Europol operasyonu kapsamında yayınlanan telemetriye göre Çin, Cobalt Strike kaynaklarının yüzde 43,85’ine ev sahipliği yapıyor. Bunu bir bağlama oturtmak gerekirse, bir sonraki en büyük dağıtıcı yüzde 19,08’lik payla ABD. Bunu en çok Cobalt Strike saldırısına maruz kalan ülkeyle (yüzde 45,04’lük payla ABD) karşılaştırdığınızda, Fortra’nın aracını en çok kötüye kullanan suçluların nerede ikamet ettiği anlaşılabilir.
Araştırmacılar, “Cobalt Strike altyapısının çökertilmesi, siber suçlulara ve ulus-devlet aktörlerine kötü niyetli siber faaliyetlerin yansımaları hakkında güçlü bir mesaj gönderiyor” dedi. NCA yaptığı açıklamada şunları söyledi: “Bu kesinti faaliyeti, NCA liderliğindeki uluslararası kolluk kuvvetleri ve özel sektör işbirliğinin iki buçuk yılı aşkın bir süredir Cobalt Strike’ı tespit etme, izleme ve kullanımını engelleme çabalarını temsil etmektedir.”
Europol operasyonun öncesi de var
Europol tarafından başlatılan Morpheus Operasyonu aslında Microsoft, Fortra ve Health-ISAC’ın mahkemeye başvurarak Cobalt Strike’ın kırılmış sürümlerini barındıran çeşitli IP adreslerini kaldırmak için yasal izin almasından bir yıl sonra geldi.
Bunun ardından Google, Cobalt Strike’ın kötüye kullanımına karşı mücadelede farklı bir destek sundu. 2022’de, Google o sırada dolaşımda olduğunu tespit ettiği 34 sürümden herhangi birini kuruluşların hızlı bir şekilde bastırmasına yardımcı olmak için 165 YARA kuralından oluşan bir liste hazırladı ve açık kaynaklı hale getirdi. Ancak, geçen yıl IP adreslerinin ilk turu etkisiz hale getirildiğinde bile, araştırmacılar bunun yeterli olmayacağını biliyordu.
O dönemde Microsoft güvenlik biriminin genel müdürü olan Amy Hogan-Burney, “Bu eylem suçluların acil operasyonlarını etkileyecek olsa da, çabalarını yeniden canlandırmaya çalışacaklarını tahmin ediyoruz” demiş ve eklemişti: “Bu nedenle eylemimiz tek seferlik değildir.”
Fortra 2020’de Cobalt Strike’ı satın aldığından beri, suçluların araçlarının yasal sürümlerine erişememesini sağlamak için adımlar attı. Örneğin, kısa süre önce lisans vermeden önce tüm başvuru sahiplerini titizlikle incelemeye başladı, ancak Çin gibi ulaşılması zor yerlerdeki kırılmış sürümleri tamamen ortadan kaldırmak son derece zor.
