600 serveurs cybercriminels liés à l'arrêt de Cobalt Strike
Des informations récentes ont mis en lumière une opération des forces de l'ordre dont le nom de code est MORPHEUS. L'opération a été menée contre les acteurs de la menace qui utilisaient l'outil de frappe Cobalt dans le cadre de leur infrastructure d'attaque et a conduit à la fermeture de 600 serveurs cybercriminels.
Dans cet article, nous verrons ce qu'est la grève Cobalt, pourquoi elle est utile, et les détails de l'opération d'arrêt du serveur.
Qu'est-ce que la grève du cobalt ?
Cobalt strike est un outil de cybersécurité développé par Fortra. Cet outil est conçu pour aider les professionnels de la cybersécurité à effectuer des simulations d'attaques, ce qui leur permet de découvrir des vulnérabilités. Les informations tirées de ces simulations peuvent ensuite être utilisées pour améliorer la posture de sécurité et réduire l'exposition aux risques.
En ce qui concerne les simulations d'attaques, le spear-phishing, l'obtention d'un accès non autorisé et l'émulation de divers logiciels malveillants sont quelques exemples de simulations d'attaques réalisées à l'aide de Cobalt strike. Bien que l'outil soit principalement utilisé pour les tests de pénétration et la simulation de menaces, ses capacités peuvent être exploitées par les acteurs de la menace à des fins malveillantes.
Pourquoi la grève du cobalt est-elle utile ?
Ce programme d'émulation de menaces, s'il est exploité par des acteurs de la menace, est utile car il leur permet de.. :
- Il leur permet de lancer et d'exécuter des charges utiles.
- Contourner l'authentification à deux facteurs.
- Permet une collaboration et une communication en temps réel.
- Découvrir le serveur côté client utilisé par la cible.
- Lancer une variété d'attaques, y compris des chevaux de Troie, des téléchargements " drive-by ", des attaques d'ingénierie sociale, etc.
Outre ces capacités, le module Cobalt strike beacon est également primordial pour les acteurs de la menace. Ce module est une porte dérobée légère qui permet à l'opérateur de contrôler à distance un système compromis.
En outre, il possède un faible indicateur de réseau et des options de communication flexibles, ce qui le rend difficile à détecter. L'utilisation du module permet aux acteurs de la menace d'exécuter des commandes, de télécharger des fichiers et d'engendrer des processus, ce qui en fait une option tout à fait réalisable dans leur arsenal d'attaque.
En outre, ce module de frappe Cobalt est également doté de capacités de post-exploitation. Ces capacités aident les acteurs de la menace à accroître la furtivité de leurs attaques, ce qui leur permet de maintenir la persistance sur les appareils compromis.
Arrêt du logiciel malveillant Cobalt Strike
C'est la National Crime Agency (NCA) du Royaume-Uni qui s'est chargée de la répression des serveurs de Cobalt. Outre la NCA, d'autres agences d'Australie, du Canada, d'Allemagne, des Pays-Bas, de Pologne et des États-Unis ont également participé à l'opération. Paul Foster, directeur de la gestion des menaces à la NCA, a déclaré à propos de l'arrêt de l'opération :
"Les versions illégales de ce logiciel ont contribué à abaisser la barrière d'entrée dans la cybercriminalité, permettant aux criminels en ligne de déclencher plus facilement des attaques de ransomware et de logiciels malveillants avec peu ou pas d'expertise technique. Ces attaques peuvent coûter des millions aux entreprises en termes de pertes et de récupération. J'invite instamment les entreprises qui auraient été victimes de cybercriminalité à se manifester et à signaler ces incidents aux services de police.
L'opération s'est déroulée entre le 24 et le 28 juin et visait les versions sans licence d'outils utilisés à des fins malveillantes. Selon des rapports récents, l'opération aurait été couronnée de succès grâce à la collaboration de partenaires du secteur privé et au soutien de l'EC3 d'Europol.
Cette stratégie de collaboration a renforcé la résilience de l'Europe face aux cybermenaces dans l'écosystème numérique. Grâce à ces efforts, sur les 690 adresses IP signalées pour activité criminelle, 590 ne sont plus accessibles. L'un des principaux enseignements que l'on peut tirer de cette expérience est que les organisations privées et publiques doivent désormais collaborer pour lutter contre les cybermenaces.
Conclusion
L'opération MORPHEUS illustre la puissance de la collaboration mondiale en matière de cybersécurité. Les efforts conjugués des secteurs public et privé ont permis de démanteler efficacement des infrastructures cybercriminelles sophistiquées. Ce succès souligne l'importance d'une coopération continue et de l'utilisation de protocoles de sécurité robustes pour protéger l'écosystème numérique contre les menaces malveillantes.
Les sources de cet article sont The Hacker News et Readwrite.