Siber suç çetelerinin gözdesi Cobalt Strike’a karşı Microsoft ve Fortra’dan ortak operasyon düzenledi.
Microsoft ve Fortra’nın iş birliği, siber suçluların son dönemde eski sürümlerini kırarak saldırı aracı hâline getirdiği Cobalt Strike aracının mağdurlarını önemli ölçüde azalttı.
Operasyon, siber suçluların kullandığı Cobalt Strike sunucularının ABD’de yüzde 50, diğer ülkelerde de yüzde 25 oranlarında düşmesine neden oldu.
Siber güvenlik uzmanları tarafından savunma testlerinde siber saldırıları simüle etmek için kullanılan Cobalt Strike, yıllar içerisinde dünya çapında fidye yazılımı saldırıları başlatmak için eski sürümleri kırıp manipüle eden suçluların favori aracı hâline geldi.
Son iki yılda siber suçlular Cobalt Strike’ın kırılmış kopyalarını kullanarak yaklaşık 1,5 milyon cihaza virüs bulaştırdı.
CONTI COBALTI KULLANARAK ÇOK SAYIDA KURUMA SALDIRDI
Cobalt Strike aracını kullanan çetelerden biri olan Conti fidye yazılımı çetesi, 2020 yılında bayrağı Ryuk çetesinden devraldıktan sonra çeşitli sektörlerdeki şirketlere, hükûmet kurumlarına, okullara ve sağlık kurumlarına saldırarak dünyaca tanınan siber suç örgütü hâline gelmişti.
Conti’nin sıkça kullandığı araçlardan biri olan Cobalt Strike, daha önce de çetenin Kosta Rika hükûmetine yönelik saldırısında kullanılmış ve hükûmetin acil durum çağrısı yapmasına neden olmuştu.
Aynı zamanda Conti, İrlanda Halk Sağlığı Merkezi’ne yönelik saldırısında da Cobalt Strike kullanmış, ağ sistemlerinin yüzde 80’den fazlasını ele geçirmiş ve binlerce hastanın hayatının tehlikeye girmesine neden olmuştu.
Conti’nin dışında da siber suç gruplarının Cobalt Strike kullandığı biliniyor. Bunlar arasındaysa Evil Corp, LockBit ve Küba fidye yazılımı çetesi gibi 8 farklı çetenin olduğu belirtiliyor.
ÖNCE MICROSOFT HAREKETE GEÇTİ
Microsoft ve Fortra, suçluların eski sürümleri kırılmış Cobalt Strike araçlarını kullanmalarına karşı önlem almak için harekete geçti.
Microsoft’un Dijital Suçlar Birimi’nden (DCU) Jason Lyons tarafından yapılan öneriyle, birden fazla suçlu grubu hedef alacak şekilde büyük bir operasyon başlatıldı. Ekibin temel hedefi, bu grupların ortak olarak kullandığı kırılmış Cobalt Strike araçlarını etkisiz hâle getirmekti.
Çinli yeni siber saldırı aracı Alchimist, Cobalt Strike’a alternatif olabilir
Azure’daki ve daha sonra internetteki tüm aktif, halka açık Cobalt Strike komuta ve kontrol sunucularına bağlanan bir tarayıcı oluşturuldu. Ancak tarama yeterli değildi. Araştırmacılar, Cobalt Strike’ın geçerli güvenlik kullanımları ile tehdit aktörleri tarafından yasa dışı kullanımlarını nasıl ayırt edecekleri konusunda zorlukla karşılaştı.
Fortra, sattığı her Cobalt Strike kiti için benzersiz bir lisans numarası ya da filigran veriyor ve bu da kırılmış kopyalarda adli bir ipucu sağlıyordu. Ancak Fortra ilk operasyonun bir parçası olmadığı için DCU araştırmacıları bir süre tek başlarına çalıştı.
Fortra ise 2023’ün başlarında operasyona katıldı ve 3.500 yetkisiz Cobalt Strike sunucusuyla bağlantılı 200’den fazla “gayrimeşru” filigranın bir listesini sağladı. Şirket kendi araştırmalarını yapıyor ve yeni güvenlik kontrolleri ekliyordu, ancak Microsoft ile ortaklık, ölçeğe erişim, ek uzmanlık ve aracını ve interneti korumak için başka bir yol sağladı. Soruşturma süresince Fortra ve Microsoft, kırılmış Cobalt Strike’ın yaklaşık 50.000 benzersiz kopyasını analiz etti.
ELDE EDİLEN BİLGİLERLE DAVA AÇILDI
Ortaklık sonucunda operasyonun erişim alanı büyük ölçüde genişledi.
Operasyon sonucu elde edilen bilgiler, kötü niyetli altyapıyı her biri ayrı bir tehdit grubu olan 16 isimsiz sanığa açılan davada yardımcı oldu.
Dava sürecinde şirket avukatları, tehdit gruplarının telif hakkı yasalarını ve hizmet şartlarını ihlal ettiği için Fortra ve Microsoft’un kırılmış Cobalt Strike altyapısını kaldırma hakkı tanınmasını isterken mahkeme bu istemi kabul etti.
Mahkeme kararıyla elde edilen yetki sayesinde, kırılmış sürümlere ait altyapılar tespit edilerek engellendi. Ayrıca suçluların Microsoft yazılım kodlarını kötüye kullanarak anti-virus sistemlerini devre dışı bıraktığı altyapılar da etkisiz hale getirildi. Nisan ayında yürürlüğe giren bu kararın ardından, enfekte edilmiş IP adreslerinin sayısı ciddi şekilde azaldı.
Bu operasyon sayesinde kırılmış Cobalt Strike sunucularının sayısı dünya genelinde yüzde 25, ABD’de ise yüzde 50 oranında azaldı. Ele geçirilen alan adlarıyla ilişkili zararlı sunucular tarafından enfekte edilen IP adreslerinin sayısı yaklaşık üçte iki oranında azaldı. Bu durum, suçluların faaliyetlerini büyük ölçüde sınırlandırdı ve fidye yazılım saldırılarının sayısında ciddi bir düşüş yaşandı.
MICROSOFT VE FORTRA OPERASYONLARA DEVAM EDECEK
Microsoft ve Fortra, çatlak Cobalt Strike araçlarını kullanarak suç işleyenlere karşı bu tür operasyonların devam edeceğini vurguluyor.
Söz konusu operasyonlar yakın zamanda Cobalt Strike araçlarının kullanımının sınırlandırılması, hastanelerin ve sağlık kuruluşlarının bilgisayar ağlarını daha güvenli hâle getirmeye yardımcı olması konularında katkı sağlayacağı düşünülüyor.
