Gần 600 máy chủ có liên quan đến Cobalt Strike đã bị đánh sập
Cobalt Strike là một công cụ thử nghiệm thâm nhập và mô phỏng đối thủ phổ biến được phát triển bởi Fortra (trước đây là Help Systems), cung cấp cho các chuyên gia bảo mật công nghệ thông tin một cách để xác định điểm yếu trong hoạt động bảo mật và ứng phó sự cố. Tuy nhiên, các phiên bản crack của phần mềm đã bị các đối tượng khai thác ransomware và các nhóm tấn công APT lạm dụng cho mục đích gián điệp mạng. Cobalt Strike bao gồm một máy chủ kiểm soát (C2) và một beacon là payload mặc định được sử dụng để tạo kết nối với máy chủ C2 và tải xuống các payload (mã độc) cho giai đoạn tấn công tiếp theo.
Theo Europol, cuộc đàn áp nhắm vào các phiên bản cũ hơn, không có giấy phép của Cobalt Strike trong khoảng thời gian từ ngày 24 đến 28/6. Trong số 690 địa chỉ IP được các nhà cung cấp dịch vụ trực tuyến ở 27 quốc chú ý đến vì có liên quan đến hoạt động tội phạm, trong đó có 590 địa chỉ bị đánh sập và không thể truy cập được nữa.
Hoạt động thực thi pháp luật này được bắt đầu vào năm 2021, do Cơ quan Tội phạm Quốc gia Vương quốc Anh (NCA) chỉ đạo và có sự tham gia của các cơ quan chức năng từ Úc, Canada, Đức, Hà Lan, Ba Lan và sự hỗ trợ của các quan chức Mỹ, Bulgaria, Estonia, Phần Lan, Litva, Nhật Bản, và Hàn Quốc.
Ông Don Smith, Phụ trách tình báo mối đe dọa tại SecureWorks (Mỹ), cho biết: “Cobalt Strike từ lâu đã là công cụ được tội phạm mạng lựa chọn, như là tiền thân của ransomware. Nó cũng được triển khai bởi các tổ chức nhà nước, ví dụ như Nga và Trung Quốc, để tạo điều kiện cho các hành vi xâm nhập vào các chiến dịch gián điệp mạng”.
Dữ liệu được công ty bảo mật Trellix (Mỹ) chia sẻ cho thấy Mỹ, Ấn Độ, Hồng Kông, Tây Ban Nha và Canada chiếm hơn 70% số quốc gia bị các tác nhân đe dọa sử dụng Cobalt Strike nhắm đến. Phần lớn cơ sở hạ tầng Cobalt Strike được đặt tại Trung Quốc, Hoa Kỳ, Hồng Kông, Nga và Singapore.
Ông Paul Foster, giám đốc quản lý mối đe dọa tại NCA chia sẻ: “Mặc dù Cobalt Strike là một phần mềm hợp pháp, nhưng thật đáng buồn là tội phạm mạng đã khai thác việc sử dụng nó cho các mục đích bất chính”. “Các phiên bản không chính thống của nó đã giúp hạ thấp rào cản xâm nhập của tội phạm mạng, giúp tội phạm mạng dễ dàng thực hiện các cuộc tấn công ransomware và phần mềm độc hại gây thiệt hại mà không cần hoặc có ít hoặc không có chuyên môn kỹ thuật. Các cuộc tấn công như vậy có thể khiến các công ty thiệt hại hàng triệu USD về tổn thất và khả năng phục hồi”.
Hà Phương