piai - stock.adobe.com
Cobalt Strike : vaste opération contre les instances piratées
L’agence anticriminalité britannique et Europol se sont attaqués à près de 600 instances piratées de Cobalt Strike, réparties dans 27 pays. Détournant cet outil de test d’intrusion de ses finalités légitimes, ces copies sont régulièrement impliquées dans des cyberattaques.
C’est entre les 24 et 28 juin derniers que s’est déroulée l’opération Morpheus. Coordonnée par Europol et dirigée par l’agence anticriminalité britannique (la NCA), cette opération a impliqué des autorités de plusieurs pays, notamment l’Australie, le Canada, l’Allemagne, les Pays-Bas, la Pologne et les États-Unis. Elle a permis de désactiver près de 600 instances Cobalt Strike utilisées par des cybercriminels.
Cobalt Strike est un outil de sécurité informatique utilisé pour simuler des attaques, réaliser des tests d’intrusion, et tester les capacités de détection et la résilience des systèmes. Las, sa puissance en fait également un outil de choix pour les cybercriminels qui utilisent des versions piratées afin de lancer des cyberattaques, notamment avec ransomware.
L’opération Morpheus est l’aboutissement d’une enquête lancée en 2021. Elle a notamment profité des contributions de partenaires du secteur privé tels que BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch et The Shadowserver Foundation. « Ces partenaires ont déployé des capacités de balayage, de télémétrie et d’analyse améliorées pour aider à identifier les activités malveillantes et l’utilisation par les cybercriminels », indique Europol dans un communiqué.
Près de 1,2 million de marqueurs techniques ont été collectés durant l’enquête. Trellix indique avoir trouvé, durant sa collaboration à cette enquête, quelque 12 314 instances uniques de serveur Cobalt Strike communicant avec des balises.