Schlag gegen Cobalt-Strike-Missbrauch: Behörden nehmen 593 Server vom Netz
Europol ist es mit der koordinierten Strafverfolgungsoperation Morpheus gelungen, innerhalb von einer Woche fast 600 Server vom Netz zu nehmen, die von Cyberkriminellen eingesetzt wurden, um mit Cobalt Strike in fremde Netzwerke einzudringen. Wie die EU-Polizeibehörde mitteilte(öffnet im neuen Fenster) , hatte Europol selbst die Koordination übernommen und Verbindungen zu Partnern aus dem privaten Sektor hergestellt.
Zu letzteren zählten BAE Systems Digital Intelligence, Trellix, Spamhaus, Abuse.ch und die Shadowserver Foundation. Sie unterstützten die Operation mit ihren erweiterten Scan-, Telemetrie- und Analysemethoden, um bösartige Aktivitäten cyberkrimineller Akteure zu identifizieren.
Darüber hinaus waren an der in der letzten Juniwoche durchgeführten Aktion Strafverfolgungsbehörden aus mehreren Ländern beteiligt – darunter aus Australien, Kanada, Deutschland (BKA), den Niederlanden, Polen und den Vereinigten Staaten. Geleitet wurde Operation Morpheus von der britischen National Crime Agency.
Untersuchung läuft schon seit 2021
Innerhalb der genannten Woche seien insgesamt 690 mit kriminellen Aktivitäten in Verbindung gebrachte IP-Adressen sowie zugehörige Domains gesammelt und an Provider in 27 Ländern gemeldet worden, teilte Europol weiter mit. Ein Großteil davon, konkret 593 IP-Adressen, sei bis zum Wochenende vom Netz genommen worden.
"Die Aktion bildet den Höhepunkt einer komplexen Untersuchung, die im Jahr 2021 eingeleitet wurde" , schreibt Europol. Während der gesamten Ermittlungen seien mehr als 730 Informationen über Bedrohungen mit fast 1,2 Millionen Kompromittierungsindikatoren (IoC) ausgetauscht worden.
Bei Cobalt Strike handelt es sich eigentlich um ein legales Tool für Penetrationstests, das von der Softwarefirma Fortra angeboten wird. Es unterstützt IT-Sicherheitsexperten dabei, Schwachstellen aufzudecken und Cyberangriffe zu simulieren. Jedoch greifen auch Cyberkriminelle häufig für reale Angriffe auf ältere und nicht lizenzierte Versionen von Cobalt Strike zurück, um sich einen Zugang zu fremden Computersystemen zu verschaffen und dort Schadsoftware zu installieren.
Laut Europol unternahm Fortra Schritte, um den Missbrauch seiner Software zu verhindern. Außerdem habe das Unternehmen mit den Strafverfolgungsbehörden zusammengearbeitet, um die rechtmäßige Nutzung seiner Tools zu schützen.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.