Geheime operatie ontmaskert wereldwijde cybercriminelen: 593 illegale servers uitgeschakeld!

03 juli 2024

Europol heeft in samenwerking met private partners een wereldwijde operatie uitgevoerd om misbruik van het beveiligingstool Cobalt Strike door criminelen aan te pakken. Tussen 24 en 28 juni werden acties gecoördineerd vanuit het hoofdkantoor van Europol, gericht op oudere, ongeautoriseerde versies van dit tool.

Samenwerking tussen opsporingsdiensten en private sector

Tijdens deze week markeerden opsporingsdiensten bekende IP-adressen en domeinnamen die door criminele groeperingen werden gebruikt, zodat online dienstverleners ongeautoriseerde versies van Cobalt Strike konden uitschakelen. In totaal werden 690 IP-adressen in 27 landen gemarkeerd, waarvan er 593 zijn uitgeschakeld.

Operation MORPHEUS

Deze operatie, onder leiding van de Britse National Crime Agency, omvatte samenwerking met wetshandhavingsinstanties uit Australië, Canada, Duitsland, Nederland, Polen en de Verenigde Staten. Europol coördineerde de internationale activiteiten en werkte samen met private partners. Deze verstorende actie is het resultaat van een onderzoek dat in 2021 werd gestart.

Misbruik door cybercriminelen

Cobalt Strike is een commercieel tool van het cybersecuritybedrijf Fortra, bedoeld voor IT-beveiligingsexperts om aanvalsimulaties uit te voeren. In verkeerde handen kan een ongeautoriseerde versie echter een breed scala aan aanvalsmogelijkheden bieden aan kwaadwillenden. Criminelen hebben oudere versies van Cobalt Strike gestolen en gekraakte kopieën gemaakt om toegang te krijgen tot systemen en malware te installeren. Deze ongeautoriseerde versies zijn in verband gebracht met meerdere malware- en ransomware-onderzoeken, waaronder die naar RYUK, Trickbot en Conti.

Private sector speelt cruciale rol

De samenwerking met private partners zoals BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch en The Shadowserver Foundation was essentieel voor het succes van deze actie. Deze partners gebruikten geavanceerde scan-, telemetry- en analysemogelijkheden om kwaadaardige activiteiten te identificeren.

Ondersteuning van Europol

Sinds september 2021 biedt Europol’s European Cybercrime Centre (EC3) analytische en forensische ondersteuning en faciliteert de uitwisseling van informatie tussen alle partners. Tijdens de actie week zette Europol een virtueel commandocentrum op om wereldwijde wetshandhavingsacties te coördineren.

Voortdurende monitoring

De verstoring eindigt hier niet. Wetshandhavingsinstanties blijven toezicht houden en zullen soortgelijke acties blijven uitvoeren zolang criminelen misbruik maken van oudere versies van Cobalt Strike.

De volgende autoriteiten waren betrokken bij het onderzoek:

Australië: Australian Federal Police (AFP)
Canada: Royal Canadian Mounted Police (RCMP)
Duitsland: Bundeskriminalamt (BKA)
Nederland: Nationale Politie (Politie)
Polen: Centralne Biuro Zwalczania Cyberprzestępczości (CBZC)
Verenigd Koninkrijk: National Crime Agency (NCA)
Verenigde Staten: U.S. Department of Justice, Federal Bureau of Investigation (FBI)

Ondersteunende autoriteiten in:

Bulgarije, Estland, Finland, Litouwen, Japan, Zuid-Korea