کاهش ۸۰ درصدی استفاده مخرب از کبالت استرایک

به گزارش کارگروه امنیت خبرگزاری سایبربان، شرکت‌های مایکروسافت، مرکز اشتراک‌گذاری و تحلیل اطلاعات سلامت (Health-ISAC) و فورترا (Fortra) که کبالت استرایک (Cobalt Strike) را در سال ۲۰۲۰ خریداری کرد، از سال ۲۰۲۳ در حال مقابله با مشکل طولانی‌مدت انتشار نسخه‌های دزدی و غیرمجاز این نرم‌افزار هستند.

این نسخه‌های غیرقانونی از بازارهای سیاه دانلود شده و در حملات سایبری مورد استفاده قرار می‌گرفتند.

کبالت استرایک که در سال ۲۰۱۲ توسعه یافت، یک شبیه‌ساز نفوذ و ابزار تست امنیتی است که توسط تیم‌های قرمز (Red Teams) برای شناسایی آسیب‌پذیری‌ها و برنامه‌ریزی پاسخ‌های امنیتی استفاده می‌شود.

اما نسخه‌های قدیمی‌تر این نرم‌افزار به‌طور گسترده توسط مجرمان سایبری، گروه‌های باج‌افزاری و حتی مهاجمان دولتی مورد سوءاستفاده قرار گرفته است.

نسخه‌های غیرمجاز این ابزار معمولاً در حملات فیشینگ هدفمند (Spearphishing) استفاده می‌شوند.

در این حملات، مهاجمان سعی می‌کنند یک بیکان (Beacon) (مولفه نرم افزاری مخرب در کبالت استرایک) را روی دستگاه هدف نصب کنند که امکان پروفایل‌سازی و دسترسی از راه دور به شبکه قربانی را فراهم می‌کند.

در مارس ۲۰۲۳، دادگاه منطقه‌ای ایالات متحده در ایالت نیویورک حکمی صادر کرد که به مایکروسافت، فورترا و مرکز اشتراک‌گذاری و تحلیل اطلاعات سلامت اجازه داد تا زیرساخت‌های مخرب مورد استفاده در این حملات، از جمله سرورهای فرماندهی و کنترل (C2 Servers) را هدف قرار دهند.

این حکم به این نهادها اجازه داد تا ارائه‌دهندگان خدمات اینترنتی (ISP) و تیم‌های آمادگی اضطراری رایانه‌ای (CERTs) را مطلع کنند تا این زیرساخت‌ها را غیرفعال کرده و ارتباط بین مهاجمان و رایانه‌های آلوده قطع شود.

فورترا در یک پست وبلاگی اعلام کرد که عملیات سه‌ساله‌ای تحت عنوان مورفیوس (Morpheus) در ژوئیه ۲۰۲۴ به سرانجام رسید.

این عملیات یک سرکوب جهانی هماهنگ را علیه آی پی ها و دامنه‌های مرتبط با فعالیت‌های مجرمانه مربوط به نسخه‌های غیرمجاز کبالت استرایک اجرا کرد.

این اقدام، به رهبری آژانس ملی جرایم بریتانیا (NCA)، باعث شد ۶۹۰ آدرس آی پی به ارائه‌دهندگان خدمات اینترنتی در ۲۷ کشور گزارش شود که از این میان، ۵۹۳ مورد تاکنون حذف شده‌اند.

این عملیات با همکاری نهادهای پلیسی در استرالیا، ایالات متحده، کانادا، آلمان، هلند و لهستان انجام شد.

فورترا اعلام کرد که این کاهش به طور چشمگیری دسترسی مجرمان سایبری به این ابزار را محدود کرده است.

فورترا بیان کرد:

ما بیش از ۲۰۰ دامنه مخرب را توقیف و مسدود کرده‌ایم که این اقدام به‌طور مؤثری توانایی آنها را در دریافت ترافیک مشروع و سوءاستفاده بیشتر از بین برده است.

این شرکت همچنین اعلام کرد که میانگین زمان شناسایی و حذف این تهدیدها در ایالات متحده به کمتر از یک هفته و در سراسر جهان به کمتر از دو هفته کاهش یافته است.

باب اردمن، معاون فورترا، در مصاحبه با خبرگزاری ریکوردد فیوچر نیوز (Recorded Future News) اظهار کرد که همکاری با مایکروسافت و سایر شرکا باعث شد سرعت و گستره اقدامات آن‌ها افزایش یابد.

وی عنوان کرد:

هر سیستم غیرمجاز کبالت استرایک که حذف شود یا هر دامنه‌ای که توقیف شود، باعث قطع حملات احتمالی در سراسر جهان خواهد شد.

او همچنین تأکید کرد که مشارکت نهادهای پلیسی در سطح جهانی به اشتراک‌گذاری اطلاعات تهدیدات و شاخص‌های نفوذ (IOC) در زمان واقعی کمک می‌کند و به مقامات مربوطه امکان اقدامات اجرایی سریع‌تر را می‌دهد.

مایکروسافت پیش‌تر اعلام کرده بود که گروه‌های هکری وابسته به دولت‌های روسیه، چین، ویتنام و ایران از نسخه‌های کرک‌شده کبالت استرایک برای حملات سایبری استفاده کرده‌اند.

همچنین، کارشناسان تأیید کرده‌اند که کبالت استرایک در ده‌ها حمله باج‌افزاری علیه مؤسسات بهداشتی مورد استفاده قرار گرفته است.

این ابزار همچنین در حمله باج‌افزاری که در سال ۲۰۲۲ دولت کاستاریکا را هدف قرار داد، استفاده شده بود.

سخنگوی مایکروسافت در گفت‌وگو با ریکوردد فیوچر نیوز اظهار داشت که موفقیت در کاهش استفاده از نسخه‌های غیرمجاز کبالت استرایک، نشان‌دهنده قدرت همکاری جهانی در مقابله با جرایم سایبری است.