Europol coordina l'azione globale contro l'abuso criminale di Cobalt Strike

Le forze dell'ordine hanno collaborato con il settore privato per combattere l'abuso di uno strumento di sicurezza legittimo da parte di criminali che lo utilizzavano per infiltrarsi nei sistemi IT delle vittime. 

Le vecchie versioni senza licenza dello strumento di red teaming Cobalt Strike sono state prese di mira durante una settimana di azioni coordinate dalla sede centrale dell'Europol tra il 24 e il 28 giugno.

Nel corso della settimana, le forze dell'ordine hanno segnalato indirizzi IP noti associati ad attività criminali, insieme a una serie di nomi di dominio utilizzati da gruppi criminali, affinché i provider di servizi online disattivassero le versioni senza licenza dello strumento. Un totale di 690 indirizzi IP sono stati segnalati ai provider di servizi online in 27 paesi. Entro la fine della settimana, 593 di questi indirizzi erano stati rimossi.

Nota come Operation MORPHEUS, questa indagine è stata guidata dalla National Crime Agency del Regno Unito e ha coinvolto le autorità di polizia di Australia, Canada, Germania, Paesi Bassi, Polonia e Stati Uniti. Europol ha coordinato l'attività internazionale e ha fatto da tramite con i partner privati. Questa azione dirompente segna il culmine di un'indagine complessa avviata nel 2021.

Abuso da parte dei criminali informatici

Cobalt Strike è un popolare strumento commerciale fornito dalla società di software per la sicurezza informatica Fortra. È progettato per aiutare gli esperti di sicurezza IT legittimi a eseguire simulazioni di attacchi che identificano debolezze nelle operazioni di sicurezza e nelle risposte agli incidenti. Nelle mani sbagliate, tuttavia, copie senza licenza di Cobalt Strike possono fornire a un attore malintenzionato un'ampia gamma di capacità di attacco.

Fortra ha adottato misure significative per prevenire l'abuso del suo software e ha collaborato con le forze dell'ordine durante questa indagine per proteggere l'uso legittimo dei suoi strumenti. 

Tuttavia, in rare circostanze, i criminali hanno rubato vecchie versioni di Cobalt Strike, creando copie craccate per ottenere l'accesso backdoor alle macchine e distribuire malware. Tali versioni senza licenza dello strumento sono state collegate a molteplici indagini su malware e ransomware, tra cui quelle su RYUK, Trickbot e Conti.

Cooperazione con il settore privato

La cooperazione con il settore privato è stata determinante per il successo di questa azione dirompente. Numerosi partner del settore privato hanno supportato l'azione, tra cui BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch e The Shadowserver Foundation. Questi partner hanno implementato capacità di scansione, telemetria e analisi avanzate per aiutare a identificare attività dannose e l'uso da parte dei criminali informatici.

Questo nuovo approccio è possibile grazie al Regolamento modificato di Europol che ha rafforzato la capacità dell'Agenzia di supportare meglio gli Stati membri dell'UE, anche collaborando con il settore privato. 

Attraverso questo nuovo approccio, Europol può ottenere l'accesso a informazioni sulle minacce in tempo reale e una prospettiva più ampia sulle tattiche dei criminali informatici. Questa partnership consente una risposta più coordinata e completa, migliorando in ultima analisi la resilienza complessiva dell'ecosistema digitale in tutta Europa.

Supporto Europol

Il Centro europeo per la lotta alla criminalità informatica (EC3) di Europol supporta questo caso da settembre 2021 fornendo supporto analitico e forense e facilitando lo scambio di informazioni tra tutti i partner.

Le forze dell'ordine hanno utilizzato una piattaforma, nota come Malware Information Sharing Platform, per consentire al settore privato di condividere informazioni sulle minacce in tempo reale con le forze dell'ordine. Nel corso dell'intera indagine, sono stati condivisi oltre 730 elementi di intelligence sulle minacce contenenti quasi 1,2 milioni di indicatori di compromissione.

Inoltre, l'EC3 di Europol ha organizzato oltre 40 riunioni di coordinamento tra le agenzie di polizia e i partner privati. Durante la settimana di azione, Europol ha istituito un posto di comando virtuale per coordinare l'azione delle forze dell'ordine in tutto il mondo.

La perturbazione non finisce qui. Le forze dell'ordine continueranno a monitorare e a svolgere azioni simili finché i criminali continueranno ad abusare delle vecchie versioni dello strumento.

Hanno preso parte all'indagine le seguenti autorità:

Australia: Polizia federale australiana (AFP)

Canada: Polizia reale canadese a cavallo (RCMP)

Germania: Ufficio federale di polizia criminale (Bundeskriminalamt)

Paesi Bassi: Polizia nazionale (Politie)

Polonia: Ufficio centrale polacco per la criminalità informatica (Centralne Biuro Zwalczania Cyberprzestępczości)

Regno Unito: National Crime Agency (NCA)

Stati Uniti: Dipartimento di Giustizia degli Stati Uniti, Federal Bureau of Investigation (FBI)

Le autorità dei seguenti paesi hanno supportato l'attività di interruzione: 

Bulgaria

Estonia

Finlandia

Lituania

Giappone

Corea del Sud