[English]Strafverfolger haben unter Koordination von Europol die Operation Morpheus durchgeführt. Ziel war es, weltweit gegen Cyberkriminelle vorzugehen, die die legale Software "Cobalt Strike" missbrauchen. Während der Aktion wurden 593 Server beschlagnahmt und heruntergefahren, die in entsprechende kriminelle Aktionen involviert waren.
Anzeige
Was ist "Cobalt Strike"?
Cobalt Strike ist ein beliebtes kommerzielles Tool, das von dem Cybersicherheitssoftware-Unternehmen Fortra angeboten wird. Cobalt Strike bietet laut Wikipedia flexiblen Funktionen, um Wirtschaftsspionage auf dem eigenen Netzwerk zu simulieren, Abwehrmaßnahmen zu testen und die eigene Computersicherheit zu erhöhen. Es soll IT-Sicherheitsexperten (Red Teams) helfen, Angriffssimulationen durchzuführen, um Schwachstellen in Sicherheitsabläufen und bei der Reaktion auf Vorfälle zu ermitteln.
Allerdings wird Cobald Strike wegen seiner Funktionalität häufig aber auch von Angreifern wie APT-Gruppen oder Ransomware-Gangs verwendet. Denn zum Funktionsumfang der Software gehören die Angriffs-Aufklärung, das Eindringen, das Errichten eines stabilen Zugangs mit einer soliden Operationsbasis im Netz des Opfers sowie der anschließende Diebstahl von Daten.
Fortra hat zwar erhebliche Schritte unternommen, um den Missbrauch seiner Software zu verhindern,und um die rechtmäßige Nutzung seiner Tools zu schützen. In einigen Fällen haben Kriminelle jedoch ältere Versionen von Cobalt Strike gestohlen und geknackte Kopien erstellt, um sich durch eine Hintertür Zugang zu Rechnern zu verschaffen und Malware zu installieren.
Solche nicht lizenzierten Versionen des Tools wurden in mehreren Malware- und Ransomware-Angriffen benutzt und bei der forensischen Analyse nachgewiesen. Dazu gehörten auch Cyberangriffe durch die Gruppen RYUK, Trickbot und Conti.
Anzeige
Die Europol Operation Morpheus
Zur Bekämpfung von Cyberkriminellen, die solche älteren Cobalt Strike-Versionen für ihre Aktivitäten missbrauchen, haben sich Strafverfolgungsbehörden mit dem Privatsektor zusammengetan. Während einer koordinierten Aktionswoche wurden zwischen dem 24. und 28. Juni 2024 Seiten, die ältere, nicht lizenzierte Versionen des Red-Teaming-Tools Cobalt Strike für Cyberkriminelle anboten, ins Visier genommen.
Im Laufe der Woche haben die Strafverfolgungsbehörden bekannte IP-Adressen, die mit kriminellen Aktivitäten in Verbindung gebracht werden, sowie eine Reihe von Domänennamen, die von kriminellen Gruppen verwendet werden, an die zuständigen Online-Diensteanbieter gemeldet. Zweck war es, die betreffenden Seiten, die nicht lizenzierte Versionen des Tools bereitstellen, von den Providern deaktivieren zu lassen. Insgesamt wurden 690 IP-Adressen an Online-Diensteanbieter in 27 Ländern gemeldet. Bis zum Ende der Woche sind 593 dieser Adressen abgeschaltet worden, schreibt Europol in dieser Mitteilung.
Die Operation MORPHEUS wurde von der britischen National Crime Agency geleitet und umfasste Strafverfolgungsbehörden aus Australien, Kanada, Deutschland, den Niederlanden, Polen und den Vereinigten Staaten. Während der Operation kooperierten die Strafverfolger mit dem Privatsektur. Die Zusammenarbeit mit dem Privatsektor ist dank der geänderten Europol-Verordnung möglich und war entscheidend für den Erfolg dieser Störungsaktion, heißt es.
Aus der Privatwirtschaft unterstützten eine Reihe von Partnern, darunter BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch und The Shadowserver Foundation, die Aktion. Diese Partner setzten erweiterte Scan-, Telemetrie- und Analysefunktionen ein, um bösartige Aktivitäten und die Nutzung durch Cyberkriminelle zu identifizieren. Europol koordinierte die internationalen Aktivitäten und stellte die Verbindung zu den privaten Partnern her. Morpheus markiert den Höhepunkt einer komplexen Untersuchung, die 2021 eingeleitet und von Europol koordiniert wurde.
Die Strafverfolgungsbehörden die so genannte Malware Information Sharing Platform, die es dem privaten Sektor ermöglicht, Bedrohungsdaten in Echtzeit mit den Strafverfolgungsbehörden zu teilen. Während der gesamten Untersuchung wurden mehr als 730 Informationen über Bedrohungen ausgetauscht, die fast 1,2 Millionen Hinweise auf eine Gefährdung enthielten. Die Strafverfolgungsbehörden wollen weiterhin ähnliche Aktionen durchführen, solange Kriminelle ältere Versionen des Tools missbrauchen.
Anzeige
Wird jetzt der Hersteller von "Cobalt Strike" wegen Beihilfe zur Cybersecurity-Sabitage verklagt?
Gab ja schon einige "lustige" Klagen und Anzeigen, unter anderem von politischen Parteien wegen deutlich weniger.
Da FORTRA ein amerikanisches Unternehmen ist, dürfte es sich weniger um eine Klage wegen Sabotage sorgen – das "gibt es nirgendwo anders, nur hier" (um mal ein Zitat von Steve van Velvet zu verwenden).
In Deutschland selbst wird aufgrund von MODERN SOLUTION und der Würdigung der Arbeit von Lilith Wittmann niemand mehr so unbedarft sein und irgendwelche Schwachstellen melden!!!
Was bitte ist "Responsible Disclosure" doch gleich nochmal?