Bijna 600 IP-adressen zijn onlangs bij een internationale politieoperatie offline gehaald. Aan de actie deden onder meer de Nederlandse Politie en de Europese opsporingsdienst Europol mee. De adressen waren in gebruik voor het verspreiden van illegale versies van de Cobalt Strike penetratie-tool.
Tijdens de zogeheten operatie Morpheus, geleid door de UK National Crime Agency, identificeerden de internationale politiediensten 690 IP-adressen die werden getraceerd naar internetaanbieders in 27 landen die mogelijk illegale versies van de Cobalt Strike penetratie-tool verspreidden. Na de politieactie zijn 593 van deze IP-adressen offline gehaald.
Naast de Britse National Crime Agency deden politieorganisaties mee uit de Verenigde Staten, Canada, Australië, Duitsland, Polen en Nederland. Daarnaast kreeg het onderzoek steun van andere autoriteiten uit Bulgarije, Estland, Litouwen, Finland, Japan en Zuid-Korea. De algemene coördinatie van de internationale actie lag bij Europol.
Samenwerking met private partijen
Verder werkten de opsporingsdiensten voor de actie samen met private partijen als BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch en The Shadowserver Foundation. Deze private partijen kregen toegang tot een door Europol beheerd Malware Information Sharing Platform voor het delen van real-time threat intelligence met de diverse politieorganisaties. Gedurende het hele onderzoek deelden de organisaties op deze manier 730 stukken threat intelligence die bijna 1.2 miljoen kwaadaardige indicators aangaven.
Europol zegt in een commentaar dat er meer acties volgen na deze operatie. De internationale politieorganisatie blijft de illegale verspreiding van Cobalt Strike in de gaten houden en neemt wanneer nodig opnieuw actie.
Legitieme tool vaak misbruikt
Cobalt Strike is en legitieme penetratietool van specialist Fortra en maakt het onder meer mogelijk besmette systemen op afstand opdrachten te geven. Deze opdrachten komen daarbij van een externe server die door een derde partij wordt beheerd.
Een licentie voor de penetratietool is niet goedkoop, 5.900 dollar (zo’n 5.460 euro), en kopers krijgen eerst een screening. Toch zijn er veel oude, gelekte en gekraakte versies van de tool in omloop. Hackers misbruiken deze op grote schaal.
De tool is bijvoorbeeld zeer populair bij ransomware-aanvallen en duikt daarbij steeds vaker op. Ook gebruiken hackers de tool voor persistent-toegang tot getroffen infrastructuren, zoals voor het ‘oogsten’ van gevoelige data.
Lees ook: Harde actie tegen illegale Cobalt Strike-aanbieders in gang gezet