Europol ha coordinato un’operazione globale, nota come Operazione MORPHEUS, per combattere l’uso criminale dello strumento di sicurezza informatica Cobalt Strike. Questo strumento, sviluppato per aiutare gli esperti di sicurezza, è stato utilizzato da criminali informatici per infiltrarsi nei sistemi IT delle vittime.
Tra il 24 e il 28 giugno, le vecchie versioni senza licenza di Cobalt Strike red teaming sono state prese di mira. Le forze dell’ordine, in collaborazione con il settore privato, hanno identificato 690 indirizzi IP associati ad attività criminali, insieme a una serie di nomi di dominio utilizzati da gruppi criminali, affinché i provider di servizi online disattivassero le versioni senza licenza dello strumento. I 690 indirizzi IP identificati sono stati segnalati ai provider di servizi online in 27 paesi. Di questi, 593 indirizzi sono stati rimossi.
L’operazione MORPHEUS è stata guidata dalla National Crime Agency del Regno Unito e ha coinvolto le autorità di Australia, Canada, Germania, Paesi Bassi, Polonia e Stati Uniti. Europol ha coordinato l’attività internazionale e ha facilitato la comunicazione con i partner privati. Questa azione dirompente segna il culmine di un’indagine complessa avviata nel 2021.
Cobalt Strike è un popolare strumento legittimo creato dalla società di software per la sicurezza informatica Fortra, utilizzato per aiutare gli esperti di sicurezza informatica a simulare attacchi e identificare debolezze nelle operazioni di sicurezza e nelle risposte agli incidenti. Tuttavia, copie senza licenza di Cobalt Strike possono fornire a un attore malintenzionato un’ampia gamma di capacità di attacco.
Fortra ha adottato misure significative per prevenire l’abuso del suo software e ha collaborato con le forze dell’ordine durante questa indagine per proteggere l’uso legittimo dei suoi strumenti. Tuttavia, in rare circostanze, i criminali informatici hanno rubato vecchie versioni di Cobalt Strike, creando copie craccate per creare backdoor e distribuire malware e ransomware, come RYUK, Trickbot e Conti.
Il successo dell’operazione è dovuto in gran parte alla collaborazione con partner del settore privato, tra cui BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch e The Shadowserver Foundation. Questi partner hanno fornito capacità avanzate di scansione, telemetria e analisi per identificare le attività dannose e l’uso da parte dei criminali informatici.
Grazie al Regolamento modificato di Europol, che ha rafforzato la capacità di supportare meglio gli Stati membri dell’UE, l’Agenzia ha potuto collaborare efficacemente con il settore privato, ottenendo accesso a informazioni sulle minacce in tempo reale e migliorando la resilienza dell’ecosistema digitale in Europa.
Il Centro europeo per la lotta alla criminalità informatica (EC3) di Europol ha supportato l’indagine fornendo assistenza analitica e forense e facilitando lo scambio di informazioni. Durante l’operazione, è stata utilizzata una piattaforma di condivisione delle informazioni sui malware, attraverso la quale sono stati condivisi oltre 730 elementi di intelligence contenenti quasi 1,2 milioni di indicatori di compromissione.
Inoltre, l’EC3 di Europol ha organizzato oltre 40 riunioni di coordinamento tra le agenzie di polizia e i partner privati e ha istituito un posto di comando virtuale per coordinare l’azione delle forze dell’ordine in tutto il mondo. Le autorità continueranno a monitorare e a svolgere azioni simili finché i criminali continueranno ad abusare delle vecchie versioni di Cobalt Strike.
Le autorità di numerosi paesi, tra cui Bulgaria, Estonia, Finlandia, Lituania, Giappone e Corea del Sud, hanno supportato l’attività di interruzione.
