عملية مورفيوس التابعة للوكالة الوطنية لمكافحة الجريمة تستهدف الاستخدام غير المشروع لكوبالت سترايك
المملكة المتحدة الوكالة الوطنية لمكافحة الجريمة (NCA)، بالتعاون مع الوكالات الشريكة من جميع أنحاء العالم، بما في ذلك مكتب التحقيقات الفيدرالي والوكالات من أستراليا وكندا و الاتحاد الأوروبياتخذت شركة مايكروسوفت سلسلة من إجراءات الإنفاذ ضد مستخدمي أداة اختبار الاختراق Cobalt Strike الذين كانوا يستغلونها لتمكين الأنشطة الإجرامية الإلكترونية.
اتخذت عملية مورفيوس إجراءات في الأسبوع الماضي ضد 690 حالة فردية من حالات هجوم الكوبالت التي وقعت في 129 شركة مزودة لخدمات الإنترنت في ما يقرب من 30 دولة. وفي وقت كتابة هذا التقرير، نجح تحالف NCA في تحييد 593 من هذه الحالات الخبيثة من خلال الجمع بين تعطيل الخوادم نفسها وإخطار شركات تقديم خدمات الإنترنت بأنها تستضيف برامج ضارة لحملها على اتخاذ الإجراءات اللازمة.
على الرغم من أن Cobalt Strike يتم بيعه واستخدامه بشكل قانوني من قبل العديد من الأشخاص – إلا أنه في الواقع مملوك حاليًا فورترا – على مر السنين منذ إنشائه بواسطة المطور رافائيل مودج، أصبح أيضًا أداة الانتقال إلى لمجرمي الإنترنت الذين يسعون إلى تنفيذ هجوم إلكتروني.
بالنسبة لمثل هذه الجهات الفاعلة، من السهل نسبيا الحصول على إصدارات مقرصنة أو غير مرخصة، أو اختراق إصدارات أقدم، من Cobalt Strike واستغلال قدراته للتسلل بسرعة إلى أنظمة تكنولوجيا المعلومات وشبكات ضحاياهم وتنفيذ هجمات الفدية وغيرها من الهجمات الإلكترونية.
وعلى هذا النحو، قالت وكالة مكافحة الجرائم الوطنية، إن النسخة غير المشروعة من برنامج Cobalt Strike قد استُخدمت في بعض أكبر الهجمات الإلكترونية في السنوات الأخيرة، فضلاً عن استخدامها من قبل عصابات برامج الفدية المتعددة بما في ذلك ريوك وكونتي.
وقال مدير إدارة التهديدات في الوكالة الوطنية لمكافحة الجرائم الإلكترونية بول فوستر: “على الرغم من أن برنامج Cobalt Strike هو برنامج مشروع، إلا أن مجرمين الإنترنت استغلوا استخدامه لأغراض خبيثة”. وأضاف: “لقد ساعدت الإصدارات غير القانونية منه في خفض حاجز الدخول إلى الجرائم الإلكترونية، مما يسهل على المجرمين عبر الإنترنت إطلاق هجمات البرامج الضارة والفدية الضارة مع القليل من الخبرة الفنية أو بدونها. يمكن أن تكلف مثل هذه الهجمات الشركات ملايين الدولارات من حيث الخسائر والتعافي”.
“إن الاضطرابات الدولية مثل هذه هي الطريقة الأكثر فعالية لتقليص أعداد مجرمي الإنترنت الأكثر ضررًا، من خلال إزالة الأدوات والخدمات التي تدعم عملياتهم. وأود أن أحث أي شركة ربما كانت ضحية لجريمة إلكترونية على التقدم والإبلاغ عن مثل هذه الحوادث إلى سلطات إنفاذ القانون.”
كيف يمكنني منع استخدام Cobalt Strike ضدي؟
على غرار العديد من الأدوات التي يستخدمها مجرمو الإنترنت، فإن السلاح الرئيسي الذي يمكن لمحترفي تكنولوجيا المعلومات والأمن استخدامه ضد Cobalt Strike هو الاهتمام بأساسيات نظافة الأمن السيبراني وتوصيل هذه المبادئ إلى جميع أنحاء مؤسستهم.
تصل ضربة الكوبالت عادة عبر التصيد بالرمح أو رسائل البريد الإلكتروني العشوائية التي تحاول دفع الضحية المحتملة إلى النقر على رابط أو فتح مرفق ضار – والتي تقوم بعد ذلك بتثبيت منارة Cobalt Strike التي تمنح المجرم الإلكتروني إمكانية الوصول عن بُعد إلى النظام المخترق حتى يتمكن من العمل. وبالتالي، فإن تنفيذ وإنفاذ أمان البريد الإلكتروني التدابير والسياسات هو الخيار الأول والأفضل.
بالإضافة إلى ذلك، تعهدت شركة Fortra بمواصلة العمل مع جهات إنفاذ القانون وصناعة الأمن لتحديد الإصدارات القديمة من البرنامج وإزالتها من الإنترنت.
