Europol koordinierte eine gemeinsame Strafverfolgungsmaßnahme, die unter dem Namen Operation Morpheus bekannt wurde und zur Ausschaltung von fast 600 Cobalt-Strike-Servern führte, die von Cyberkriminellen zur Infiltrierung der Netzwerke ihrer Opfer genutzt wurden.
In einer einzigen Woche Ende Juni identifizierten die Strafverfolgungsbehörden bekannte IP-Adressen, die mit kriminellen Aktivitäten in Verbindung stehen, sowie Domänennamen, die Teil der von kriminellen Gruppen genutzten Angriffsinfrastruktur sind.
In der nächsten Phase der Operation wurden die Anbieter von Online-Diensten mit den gesammelten Informationen versorgt, um nicht lizenzierte Versionen des Tools zu deaktivieren.
"Ältere, nicht lizenzierte Versionen des Cobalt Strike Red Teaming Tools wurden während einer vom Europol-Hauptsitz aus koordinierten Aktionswoche zwischen dem 24. und 28. Juni ins Visier genommen", so Europol.
"Insgesamt wurden 690 IP-Adressen bei Online-Diensteanbietern in 27 Ländern gemeldet. Bis Ende der Woche waren 593 dieser Adressen abgeschaltet worden.
An der Operation Morpheus waren Strafverfolgungsbehörden aus Australien, Kanada, Deutschland, den Niederlanden, Polen und den Vereinigten Staaten beteiligt, und sie wurde von der National Crime Agency des Vereinigten Königreichs geleitet.
Partner aus der Privatwirtschaft wie BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch und The Shadowserver Foundation boten ebenfalls ihre Unterstützung bei dieser internationalen Strafverfolgungsoperation an und halfen mit ihren erweiterten Scan-, Telemetrie- und Analysefähigkeiten bei der Identifizierung von Cobalt Strike-Servern, die in cyberkriminellen Kampagnen eingesetzt werden.
Diese von Europol koordinierte Störungsaktion ist der Höhepunkt einer komplexen Untersuchung, die vor drei Jahren, im Jahr 2021, begann.
"Während der gesamten Ermittlungen wurden mehr als 730 Informationen über Bedrohungen ausgetauscht, die fast 1,2 Millionen Hinweise auf eine Kompromittierung enthielten", so Europol weiter.
"Darüber hinaus organisierte das EC3 von Europol über 40 Koordinierungssitzungen zwischen den Strafverfolgungsbehörden und den privaten Partnern. Während der Aktionswoche richtete Europol einen virtuellen Gefechtsstand ein, um die Strafverfolgungsmaßnahmen auf der ganzen Welt zu koordinieren.
Verwendet in Ransomware-Angriffen und Cyberspionage-Kampagnen
Im April 2023 kündigten Microsoft, Fortra und das Health Information Sharing and Analysis Center (Health-ISAC) außerdem ein umfassendes rechtliches Vorgehen gegen Server an, auf denen geknackte Kopien von Cobalt Strike, einem der wichtigsten Hacking-Tools von Cyberkriminellen, gehostet werden.
Cobalt Strike wurde von Fortra (ehemals Help Systems) vor über einem Jahrzehnt als legitimes kommerzielles Penetrationstest-Tool für Red Teams zum Scannen der Netzwerkinfrastruktur auf Sicherheitslücken veröffentlicht. Bedrohungsakteure haben sich jedoch geknackte Kopien der Software beschafft und sie zu einem der am häufigsten verwendeten Tools für Datendiebstahl und Ransomware-Angriffe gemacht.
Angreifer verwenden Cobalt Strike in der Phase nach dem Angriff, um Beacons einzusetzen, die einen dauerhaften Fernzugriff auf kompromittierte Netzwerke ermöglichen und dazu beitragen, vertrauliche Daten zu stehlen oder zusätzliche bösartige Nutzdaten abzulegen.
Microsoft sagt, dass verschiedene staatlich unterstützte Bedrohungsakteure und Hackergruppen geknackte Versionen von Cobalt Strike verwenden, während sie im Auftrag ausländischer Regierungen wie Russland, China, Vietnam und Iran operieren.
Im November 2022 stellte das Google Cloud Threat Intelligence-Team außerdem eine Sammlung von Kompromissindikatoren (IOCs) und 165 YARA-Regeln zur Verfügung, die Verteidigern helfen sollen, Cobalt Strike-Komponenten in ihren Netzwerken zu erkennen.
