«Швейцарский нож» для хакеров: 690 серверов Cobalt Strike пали от руки правосудия

В результате масштабной международной операции правоохранительных органов пресечена деятельность сотен нелегальных установок популярного хакерского инструмента Cobalt Strike. Национальное агентство по борьбе с преступностью Великобритании (NCA) сообщило , что были обезврежены 690 IP-адресов, на которых размещались вредоносные версии этого программного обеспечения в 27 странах мира.

Cobalt Strike, изначально разработанный в 2012 году как инструмент для пентеста, за последнее десятилетие стал излюбленным средством как государственных хакеров, так и криминальных группировок, специализирующихся на вымогательских атаках. Несмотря на то, что программа предназначена для легитимных целей, она очень удобна для взлома сетей. Неудивительно, что пиратские версии распространились по всему интернету.

Аналитики отмечают: Cobalt Strike часто используется в фишинговых атаках для установки "маяков" на устройства жертв, что позволяет хакерам получить удаленный доступ к системе и собирать информацию о ней. Дон Смит , вице-президент по исследованию угроз в Secureworks Counter Threats Unit, назвал этот инструмент "швейцарским ножом киберпреступников и государственных хакеров" из-за его многофункциональности.

Операция по борьбе с нелегальным использованием Cobalt Strike включала не только отключение серверов, но и отправку уведомлений интернет-провайдерам о потенциальном размещении вредоносного ПО на их ресурсах. Пол Фостер, директор по угрозам NCA, подчеркнул, что нелегальные версии программы значительно снизили порог входа в киберпреступность, позволяя хакерам проводить разрушительные атаки с минимальными техническими навыками.

Несмотря на успех операции, эксперты предупреждают: угроза остается актуальной. По словам Дона Смита из Secureworks, хотя разрушение инфраструктуры преступников - это, безусловно, большой успех, как криминальные группировки, так и государственные хакеры почти наверняка имеют запасной план на случай подобных ситуаций.

Компания Fortra, нынешний владелец Cobalt Strike, заявила о готовности продолжать сотрудничество с правоохранительными органами для выявления и удаления устаревших версий программы из интернета. Изначально NCA сообщило о выпуске новой версии программы с "усиленными мерами безопасности", однако позже это заявление было отозвано.

Несмотря на усилия Fortra по защите своего продукта, преступникам иногда удавалось получить доступ к старым версиям Cobalt Strike. Злоумышленники создавали взломанные копии программы, которые использовали для несанкционированного проникновения в компьютерные системы и распространения вредоносного ПО. Правоохранительные органы неоднократно сталкивались с нелицензионными версиями Cobalt Strike в ходе расследований крупных кибератак. В частности, этот инструмент фигурировал в делах, связанных с опасными программами-вымогателями, такими как RYUK, Trickbot и Conti.