Policjanci CBZC zaangażowani w międzynarodową operację MORPHEUS
Funkcjonariusze Zarządu w Gdańsku Centralnego Biura Zwalczania Cyberprzestępczości są zaangażowani w realizację międzynarodowego śledztwa w sprawie przestępczego wykorzystywania narzędzia Cobalt Strike. Oprogramowanie to jest legalnym narzędziem wykorzystywanym w cyberbezpieczeństwie do wykrywania luk i podatności infrastruktury informatycznej.
W niewłaściwych rękach program stanowi potężne wsparcie do ataków na systemy teleinformatyczne. Cyberprzestępcy wykorzystują software Cobalt Strike do infiltracji systemów informatycznych ofiar, co daje następnie możliwość kradzieży danych czy zainfekowania atakowanej infrastruktury złośliwym oprogramowaniem. Operacja była koordynowana przez Agencję Unii Europejskiej ds. Współpracy Organów Ścigania, a wzięły w niej udział organizacje poszczególnych krajów zrzeszonych w Europolu.
W dniach 24-28 czerwca br. Europol koordynował działania mające na celu wyeliminowanie serwerów kradzionych i crackowanych wersji Cobalt Strike.
Przez cały tydzień policjanci wskazywali dostawcom usług internetowych znane adresy IP oraz nazwy domen powiązanych z działalnością przestępczą w celu ich wyłączenia. Łącznie zostało zgłoszonych 690, a wyłączonych 593 serwery C2 Cobalt Strike w 27 krajach.
Inicjatorem operacji MORPHEUS była Brytyjska Narodowa Agencja ds. Przestępczości, a uczestnikami były organy ścigania z Polski, Australii, Kanady, Niemiec, Holandii i Stanów Zjednoczonych.
Europol wspierał przedmiotową operację oraz koordynował współpracę pomiędzy sektorem prywatnym a organami ścigania od 2021 roku, a jej uwieńczeniem była akcja przeprowadzona w ostatnim tygodniu czerwca.
Po tygodniu działań firma Fortra odpowiedzialna za sprzedaż i licencjonowanie narzędzia Cobalt Strike wydała jego nową wersję, która zawiera ulepszone środki bezpieczeństwa.
Wsparcie Europolu
W operacji MORPHEUS organy ścigania po raz pierwszy na taką skalę korzystały z platformy znanej jako MISP (Malware Information Sharing Platform), aby umożliwić sektorowi prywatnemu dzielenie się z funkcjonariuszami w czasie rzeczywistym informacjami o zagrożeniach. W trakcie całego dochodzenia udostępniono ponad 730 informacji o zagrożeniach, zawierających 1,2 miliona unikalnych identyfikatorów. Zorganizowano ponad 40 spotkań koordynacyjnych, w których uczestniczyły instytucje odpowiedzialne za ściganie cyberprzestępców i współpracujący z nimi partnerzy z sektorów prywatnych. Podczas akcji w Europolu zostało utworzone wirtualne stanowisko dowodzenia, aby koordynować działania na całym świecie.
Przeprowadzona w ostatnim tygodniu czerwca akcja pod kryptonimem MORPHEUS nie oznacza, że organy ścigania przestaną interesować się przestępczym wykorzystaniem narzędzi takich jak Cobalt Strike. W dalszym ciągu monitorowana będzie sieć, aby w przyszłości móc przeprowadzić podobne działania.
Organizacje, które wzięły udział w śledztwie:
- Polska: Centralne Biuro Zwalczania Cyberprzestępczości (CBZC)
- Australia: Australijska Policja Federalna (AFP)
- Kanada: Kanadyjska Królewska Policja Konna (RCMP)
- Niemcy: Federalny Urząd Policji Kryminalnej (Bundeskriminalamt)
- Holandia: Policja Krajowa (Politie - NHCTU)
- Zjednoczone Królestwo: Krajowa Agencja ds. Przestępczości (NCA)
- Stany Zjednoczone: Departament Sprawiedliwości Stanów Zjednoczonych (U.S. Department of Justice), Federalne Biuro Śledcze (FBI),
Kraje, które wspomagały akcję na swoim terytorium:
- Bułgaria
- Estonia
- Finlandia
- Litwa
- Japonia
- Korea Południowa
(CBZC)
Pełny komunikat EUROPOLU w języku angielskim dotyczący operacji MORPHEUS:
Europol coordinates global action against criminal abuse of Cobalt Strike