Κυβερνοεγκληματίες επιτίθενται με λογισμικό κυβερνοασφάλειας σε ιδιωτικές εταιρείες – Ποιες οι ενέργειες που πάρθηκαν

Αρκετές εταιρείες είναι αυτές που χρησιμοποιούν συγκεκριμένα λογισμικά κυβερνοασφάλειας για να αποφύγουν την διαρροή των δεδομένων τους αλλά και άλλων σημαντικών πληροφοριών. Ένα από αυτά τα προγράμματα είναι το Cobalt Strike, το οποίο χρησιμοποιήθηκε από μία ομάδα κυβερνοεγκληματιών για να καταφέρουν να έχουν πρόσβαση σε σημαντικές πληροφορίες.

Σύμφωνα με ανακοίνωση της Europol, οι Αρχές συνεργάζονται με τον ιδιωτικό τομέα για να καταπολεμήσουν το συγκεκριμένο έγκλημα. Παλαιότερες και μη εξουσιοδοτημένες μορφές του προγράμματος αποτέλεσαν το στόχο των Αρχών, στη δράση που έλαβε χώρα στα κεντρικά γραφεία της Europol από τις 24 έως τις 28 Ιουνίου.

Καθ’ όλη τη διάρκεια της εβδομάδας, οι Αρχές επισήμαναν γνωστές διευθύνσεις IP που σχετίζονται με εγκληματική δραστηριότητα, μαζί με domains που χρησιμοποιούνται από εγκληματικές ομάδες, ώστε οι πάροχοι διαδικτυακών υπηρεσιών να απενεργοποιούν τις μη αδειοδοτημένες εκδόσεις του εργαλείου. Συνολικά 690 IP διευθύνσεις επισημάνθηκαν σε παρόχους διαδικτυακών υπηρεσιών σε 27 χώρες. Μέχρι το τέλος της εβδομάδας, 593 από αυτές τις διευθύνσεις είχαν αφαιρεθεί.

Γνωστή και ως επιχείρηση MORPHEUS, αυτή η έρευνα διεξήχθη από την Εθνική Υπηρεσία Εγκλήματος του Ηνωμένου Βασιλείου σε συνεργασία με άλλες Αρχές από την Αυστραλία, τον Καναδά, τη Γερμανία, την Ολλανδία, την Πολωνία και τις Ηνωμένες Πολιτείες. Η Europol συντόνισε τη διεθνή δραστηριότητα και συνδέθηκε με τους ιδιωτικούς εταίρους. Αυτή η ανατρεπτική ενέργεια σηματοδοτεί το αποκορύφωμα μιας περίπλοκης έρευνας που έχει ξεκινήσει από το 2021.

Η κατάχρηση του λογισμικού από τους κυβερνοεγκληματίες

Το λογισμικό κυβερνοασφάλειας Cobalt Strike πρόκειται για ένα αρκετά γνωστό εργαλείο το οποίο παρέχεται από την εταιρεία κυβερνοασφάλειας Fortra. Έχει σχεδιαστεί για να βοηθά τους νόμιμους εμπειρογνώμονες σε θέματα ασφάλειας IT να εκτελούν προσομοιώσεις επίθεσης που εντοπίζουν αδυναμίες στις λειτουργίες ασφαλείας και τις αποκρίσεις συμβάντων. Σε λάθος χέρια, ωστόσο, τα αντίγραφα του Cobalt Strike χωρίς άδεια μπορούν να παρέχουν σε έναν κακόβουλο ηθοποιό ένα ευρύ φάσμα δυνατοτήτων επίθεσης.

Η Fortra έχει λάβει σημαντικά μέτρα για να αποτρέψει την κατάχρηση του λογισμικού της και συνεργάστηκε με τις Αρχές σε όλη αυτή την έρευνα για την προστασία της νόμιμης χρήσης των εργαλείων της. Ωστόσο, σε σπάνιες περιπτώσεις, οι εγκληματίες έχουν κλέψει παλαιότερες εκδόσεις του Cobalt Strike, δημιουργώντας σπασμένα αντίγραφα για να αποκτήσουν πρόσβαση σε κερκόπορτα σε μηχανήματα και να αναπτύξουν κακόβουλο λογισμικό. Τέτοιες εκδόσεις του εργαλείου χωρίς άδεια έχουν συνδεθεί με πολλαπλές έρευνες για κακόβουλο λογισμικό και ransomware, συμπεριλαμβανομένων εκείνων στο RYUK, το Trickbot και το Conti.

Συνεργασία με τον ιδιωτικό τομέα

Η συνεργασία με τον ιδιωτικό τομέα ήταν καθοριστική για την επιτυχία αυτής της ανατρεπτικής δράσης. Διάφοροι εταίροι του ιδιωτικού κλάδου υποστήριξαν τη δράση, συμπεριλαμβανομένων των BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch και The Shadowserver Foundation. Αυτοί οι συνεργάτες ανέπτυξαν βελτιωμένες δυνατότητες σάρωσης, τηλεμετρίας και ανάλυσης για να βοηθήσουν στον εντοπισμό κακόβουλων δραστηριοτήτων και χρήσης από εγκληματίες του κυβερνοχώρου.

Αυτή η νέα προσέγγιση είναι δυνατή χάρη στον τροποποιημένο κανονισμό της Europol, ο οποίος ενίσχυσε την ικανότητα του Οργανισμού να υποστηρίζει καλύτερα τα κράτη μέλη της ΕΕ, μεταξύ άλλων με τη συνεργασία με τον ιδιωτικό τομέα. Μέσω αυτής της νέας προσέγγισης, η Europol μπορεί να αποκτήσει πρόσβαση σε πληροφορίες για τις απειλές σε πραγματικό χρόνο και μια ευρύτερη προοπτική για τις τακτικές εγκληματικότητας στον κυβερνοχώρο. Αυτή η συνεργασία επιτρέπει μια πιο συντονισμένη και ολοκληρωμένη απάντηση, ενισχύοντας τελικά τη συνολική ανθεκτικότητα του ψηφιακού οικοσυστήματος σε ολόκληρη την Ευρώπη.

Η υποστήριξη της Europol

Το Ευρωπαϊκό Κέντρο Κυβερνοεγκλήματος (EC3) της Europol στήριζε αυτήν την υπόθεση από τον Σεπτέμβριο του 2021 παρέχοντας αναλυτική και εγκληματολογική υποστήριξη και διευκολύνοντας την ανταλλαγή πληροφοριών μεταξύ όλων των εταίρων. Οι εμπλεκόμενες Αρχές χρησιμοποίησαν μια πλατφόρμα, γνωστή ως Malware Information Sharing Platform, για να επιτρέψουν στον ιδιωτικό τομέα να μοιράζεται πληροφορίες απειλών σε πραγματικό χρόνο με τις αρχές επιβολής του νόμου. Κατά τη διάρκεια ολόκληρης της έρευνας, κοινοποιήθηκαν περισσότερα από 730 στοιχεία πληροφοριών για τις απειλές που περιείχαν σχεδόν 1,2 εκατομμύρια δείκτες συμβιβασμού.

Επιπλέον, η EC3 της Europol διοργάνωσε περισσότερες από 40 συντονιστικές συναντήσεις μεταξύ των υπηρεσιών επιβολής του νόμου και των ιδιωτικών εταίρων. Κατά τη διάρκεια της εβδομάδας των δράσεων, η Europol δημιούργησε ένα εικονικό διοικητήριο για να συντονίσει τις Αρχές σε όλο τον κόσμο.

Η υπόθεση όμως δεν τελειώνει εδώ. Οι Αρχές θα συνεχίσουν να παρακολουθούν και να πραγματοποιούν παρόμοιες ενέργειες όσο οι εγκληματίες συνεχίζουν να κάνουν κατάχρηση παλαιότερων εκδόσεων του εργαλείου.

Οι Αρχές των χωρών που πήραν μέρος ήταν:

• Αυστραλία
• Καναδά
• Γερμανία
• Ολλανδία
• Πολωνία
• Ηνωμένο Βασίλειο
• Ηνωμένες Πολιτείες της Αμερικής

Ακόμη στις δράσεις κατάρριψης ύποπτων IP συμμετείχαν οι εξής:

• Βουλγαρία
• Εσθονία
• Φινλανδία
• Λιθουανία
• Ιαπωνία
• Νότια Κορέα