Operazione Morpheus: messi offline quasi 600 server Cobalt Strike usati dai criminali

Author: Hardware Upgrade

L’Operazione Morpheus, un’azione congiunta delle forze dell’ordine
coordinata dall’ Europol, ha ottenuto un importante risultato nella lotta
contro la criminalità informatica riuscendo a mettere offline quasi
600 server Cobalt Strike utilizzati dai cybercriminali per
operazioni di infiltrazione, compromissione, sabotaggio ed estorsione.

Si è trattato di un’operazione su vasta scala, con la collaborazione
delle forze dell’ordine di Australia, Canada, Germania, Paesi Bassi,
Polonia e Stati Uniti e diretta dalla National Crime Agency del Regno
Unito. Nel contesto dell’Operazione Morpheus si segnala anche la
collaborazione del settore privato, con il coinvolgimentò di realtà come
BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch e The
Shadowserver Foundation, che hanno fornito supporto cruciale attraverso le
loro capacità avanzate di scansione, telemetria e analisi.

La fase operativa si è consumata nella settimana dal 24 al 28 giugno, con
l’identificazione di 690 indirizzi IP associati ad attività criminali
verificatesi in 27 Paesi. Questi dati sono stati condivisi con i fornitori
di servizi online, portando in ultima istanza alla messa offline di
593 indirizzi nel giro di brevissimo tempo. Quanto accaduto
rappresenta l’epilogo di una complessa indagine che ha preso il via nel
corso del 2021 e per la quale Europol ha operato come coordinatore delle
attività organizzando oltre 40 riunioni tra le forze dell’ordine e le
realtà private, oltre ad istituire un comando virtuale durante la
settimana operativa per il coordinamento delle azioni globali.

Cobalt Strike è uno strumento originariamente sviluppato da Fortra
(in precedenza nota come Help Systems) in maniera legittima per attività
di penetration testing. Lo strumento è però divenuto nel corso degli
anni una risorsa fondamentale per le attività dei cybercriminali: alcune
versioni non autorizzate del software sono finite nelle mani di attori di
minaccia, che lo usano correntemente per le loro attività criminose. In
particolare Cobalt Strike viene utilizzato da diversi gruppi hacker
affiliati a governi, che sfruttano lo strumento per mantenere un
accesso persistente alle retri compromesse a seguito dell’accesso
iniziale.

L’impiego di Cobalt Strike a scopo criminale ha messo in guardia non solo
le società di sicurezza informatica, ma anche alcune grandi aziende: nel
corso del mese di aprile dello scorso anno la stessa Fortra assieme a
Microsoft, e all’Health Information Sharing and Analysis Center hanno
lanciato un’azione legale di ampia portata contro i server che ospitavano
copie pirata del software. In precedenza, nel mese di novembre del 2022,
Google Cloud Threath Intelligence ha reso open source una raccolta di
indicatori di compromissione e 165
regole YARA per aiutare analisti e responsabili di sicurezza a
rilevare l’eventuale presenza di Cobalt Strike nelle reti manutenute.

L’Europol assicura che le attività dell’operazione non
terminano qui: le forze dell’ordine continueranno a monitorare e a
svolgere azioni simili finché i criminali continueranno ad abusare delle
versioni precedenti dello strumento.