Küresel Polis Operasyonu, Cobalt Strike ile Bağlantılı 600 Siber Suç Sunucusunu Kapatıyor

05.07.2024

MORPHEUS adlı koordineli bir kolluk kuvveti operasyonu, Cobalt Strike saldırı altyapısıyla bağlantılı olarak siber suç grupları tarafından kullanılan yaklaşık 600 sunucuyu devre dışı bıraktı. Europol'e göre, 24-28 Haziran tarihleri arasında gerçekleştirilen bu operasyon, eski ve lisanssız Cobalt Strike kırmızı takım çerçevesini hedef aldı.

27 ülkede çevrimiçi hizmet sağlayıcılara suç faaliyetiyle bağlantılı olarak bildirilen 690 IP adresinden 590'ı artık erişilebilir değil. 2021 yılında başlayan ortak operasyon, Birleşik Krallık Ulusal Suç Ajansı (NCA) liderliğinde, Avustralya, Kanada, Almanya, Hollanda, Polonya ve ABD'den otoritelerin katılımıyla gerçekleştirildi. Ayrıca Bulgaristan, Estonya, Finlandiya, Litvanya, Japonya ve Güney Kore'den destek sağlandı.

Fortra (eski adıyla Help Systems) tarafından geliştirilen Cobalt Strike, güvenlik açıklarını belirlemeye yardımcı olan yaygın olarak kullanılan bir düşman simülasyonu ve penetrasyon testi aracıdır. Ancak Google ve Microsoft'un da belirttiği gibi, kırılmış versiyonları kötü niyetli aktörler tarafından sömürü sonrası amaçlar için kötüye kullanılmıştır.

SecureWorks tehdit istihbarat başkan yardımcısı Don Smith, The Hacker News'e yaptığı açıklamada, "Cobalt Strike, siber suçluların ve devlet destekli aktörlerin İsviçre çakısıdır," dedi. Rus ve Çin grupları da dahil olmak üzere fidye yazılımı ve siber casusluk kampanyalarında sıkça kullanıldığını vurguladı.

Trellix verileri, ABD, Hindistan, Hong Kong, İspanya ve Kanada'nın Cobalt Strike kullanan tehdit aktörleri tarafından en çok hedef alınan ülkeler arasında olduğunu gösteriyor. Cobalt Strike altyapısının çoğu Çin, ABD, Hong Kong, Rusya ve Singapur'da barındırılıyor.

Palo Alto Networks Unit 42'den bir rapor, Beacon adlı bir yükün kullanımını detaylandırıyor. Bu yük, Beacon'ın web trafiği özelliklerini tespit edilmekten kaçınmak için değiştiren Malleable C2 adlı metin tabanlı profiller kullanıyor.

NCA tehdit liderliği direktörü Paul Foster, Cobalt Strike'ın çift yönlü doğasına dikkat çekerek, yasa dışı versiyonlarının siber suçlar için giriş engelini düşürdüğünü ve minimal teknik uzmanlıkla zararlı fidye yazılımı ve kötü amaçlı yazılım saldırılarına olanak sağladığını belirtti. Bu tür saldırılar, şirketlere milyonlarca dolar kayıp ve kurtarma çabası maliyetine yol açabilir.

İlgili gelişmelerde, İspanyol ve Portekizli kolluk kuvvetleri, yaşlı vatandaşlara yönelik vishing (sesli kimlik avı) şemalarıyla suç işleyen 54 kişiyi tutukladı. Banka çalışanı gibi davranarak kişisel bilgileri çalan suçlular, bu bilgileri kullanarak mağdurların banka hesaplarına erişip yetkisiz para çekme ve alışveriş yapma faaliyetlerinde bulundu ve 2.500.000 € zarara neden oldu.

Europol, suçluların yasa dışı fonları, İspanyol ve Portekiz hesaplarını ve bir para katırları ağı kullanarak karmaşık bir kara para aklama şemasıyla aktardığını bildirdi.

INTERPOL tarafından yapılan benzer çalışmalar, insan kaçakçılığı ve çevrimiçi dolandırıcılık ağlarını hedef aldı. Laos'ta, yüksek maaşlı işler vaadiyle Vietnamlı vatandaşlar, sahte çevrimiçi hesaplar oluşturmak için zorla çalıştırıldı. Mağdurlar uzun saatler çalıştırıldı ve belgelerine el konuldu, ailelerinden Vietnam'a geri dönmeleri için 10.000 USD'ye kadar para talep edildi.

INTERPOL'ün 61 ülkede gerçekleştirdiği First Light Operasyonu, kimlik avı, yatırım dolandırıcılığı, sahte çevrimiçi alışveriş siteleri, romantizm dolandırıcılığı ve sahtecilik dolandırıcılıklarını bozmayı hedefledi. Operasyon sonucunda 257 milyon dolar değerinde varlık ele geçirildi, 6.745 banka hesabı donduruldu, 3.950 şüpheli tutuklandı ve dünya çapında 14.643 diğer potansiyel şüpheli tespit edildi.