Globale Polizeiaktion deaktiviert 600 missbrauchte Cobalt-Strike-Server
Im Rahmen der Operation MORPHEUS schalteten Strafverfolgungsbehörden fast 600 Server ab, die von cyberkriminellen Gruppen genutzt wurden und Teil der Angriffsinfrastruktur mit dem Cobalt Strike-Tool waren. Laut Europol richtete sich die Razzia vom 24. bis 28. Juni gegen ältere, nicht lizenzierte Versionen des Cobalt Strike Red Teaming Frameworks.
Von den 690 IP-Adressen, die in 27 Ländern wegen krimineller Aktivitäten an Online-Diensteanbieter gemeldet wurden, sind 590 nicht mehr erreichbar. Die gemeinsame Operation, die bereits 2021 anlief, wurde von der britischen National Crime Agency (NCA) geleitet und umfasste Behörden aus Australien, Kanada, Deutschland, den Niederlanden, Polen und den USA. Weitere Unterstützung kam von Beamten aus Bulgarien, Estland, Finnland, Litauen, Japan und Südkorea.
Cobalt Strike ist ein beliebtes, von Fortra (ehemals Help Systems) entwickeltes Tool zur Simulation von Angriffen und für Penetrationstests. Es ermöglicht IT-Sicherheitsexperten, Schwachstellen in Sicherheitsabläufen und Reaktionen auf Vorfälle zu erkennen. Allerdings haben, wie zuvor von Google und Microsoft beobachtet, gehackte Versionen der Software ihren Weg in die Hände von böswilligen Akteuren gefunden, die sie immer wieder für schädliche Zwecke nutzen.
„Cobalt Strike ist das Schweizer Taschenmesser für Cyberkriminelle und staatliche Akteure,“ so Don Smith, Vizepräsident für Bedrohungsaufklärung bei SecureWorks. „Cobalt Strike war lange das bevorzugte Werkzeug für Cyberkriminelle, auch als Vorstufe zu Ransomware. Es wird auch von staatlichen Akteuren eingesetzt, vorwiegend aus Russland und China, um Cyber-Spionagekampagnen zu erleichtern. Als Ausgangsbasis hat es sich als sehr effektiv erwiesen, um den dauerhaften Zugang zu Opfern zu ermöglichen.“
Daten von Trellix zeigen, dass die USA, Indien, Hongkong, Spanien und Kanada über 70 Prozent der Länder ausmachen, von Bedrohungsakteuren mit Cobalt Strike angegriffenen werden. Der Großteil der Cobalt Strike-Infrastruktur ist in China, den USA, Hongkong, Russland und Singapur gehostet.
Laut einem aktuellen Bericht von Palo Alto Networks Unit 42 verwenden Angriffe mit diesem Tool eine als Beacon bezeichnete Nutzlast. Diese nutzt textbasierte Profile, genannt Malleable C2, um die Merkmale des Webverkehrs von Beacon zu ändern und eine Erkennung zu vermeiden. „Cobalt Strike ist zwar eine legitime Software, wird aber leider von Cyberkriminellen für schädliche Zwecke missbraucht,“ so Paul Foster, Direktor für Bedrohungsführung bei der NCA. „Illegale Versionen haben die Einstiegshürde in die Cyberkriminalität gesenkt, wodurch es Online-Kriminellen leichter fällt, schädliche Ransomware- und Malware-Angriffe ohne große technische Expertise durchzuführen. Solche Angriffe können Unternehmen Millionen kosten.“
Verhaftungen
Inzwischen haben spanische und portugiesische Strafverfolgungsbehörden 54 Personen verhaftet, die durch Vishing-Betrügereien ältere Bürger ausgeraubt haben. Die Täter gaben sich als Bankmitarbeiter aus und brachten ihre Opfer dazu, persönliche Informationen preiszugeben. Diese Informationen wurden dann an andere Mitglieder des kriminellen Netzwerks weitergegeben, welche die Opfer zu Hause aufsuchten und sie unter Druck setzten, ihre Kreditkarten, PIN-Codes und Bankdaten herauszugeben. In einigen Fällen wurden auch Bargeld und Schmuck gestohlen.
Durch diese kriminellen Machenschaften konnten die Täter die Bankkonten ihrer Opfer übernehmen oder unbefugte Bargeldabhebungen und teure Einkäufe tätigen. „Durch eine Kombination aus betrügerischen Anrufen und Social Engineering verursachten die Kriminellen einen Schaden von über 2,5 Millionen Euro,“ erklärte Europol. „Die Gelder wurden auf mehrere spanische und portugiesische Konten der Betrüger eingezahlt und dann durch ein ausgeklügeltes Geldwäsche-Netzwerk, das von spezialisierten Mitgliedern der Organisation überwacht wurde, weitergeleitet, um die Herkunft der illegalen Gelder zu verschleiern.“
257 Millionen Dollar beschlagnahmt
Die Verhaftungen folgen auf ähnliche Aktionen von INTERPOL, um Menschenhändlerringe in mehreren Ländern, darunter Laos, zu zerschlagen. Dort wurden mehrere vietnamesische Staatsangehörige mit Versprechen auf gut bezahlte Jobs angelockt, nur um dann gezwungen zu werden, betrügerische Online-Konten für Finanzbetrügereien zu erstellen. „Die Opfer arbeiteten 12 Stunden am Tag, bei Misserfolg verlängert auf 14 Stunden, und ihre Dokumente wurden konfisziert,“ so die Agentur. „Familien wurden bis zu 10.000 Doller abgepresst, um ihre Rückkehr nach Vietnam zu sichern.“
Kürzlich gab INTERPOL bekannt, im Rahmen eines globalen Polizeieinsatzes 257 Millionen Dollar an Vermögenswerten beschlagnahmt und 6.745 Bankkonten eingefroren zu haben. Diese Operation umfasste 61 Länder und zielte darauf ab, Online-Betrugs- und organisierte Kriminalitätsnetzwerke zu stören.
Die als Operation First Light bezeichnete Aktion richtete sich gegen Phishing, Anlagebetrug, gefälschte Online-Shopping-Seiten, Romance- und Identitätsbetrug. Sie führte zur Verhaftung von 3.950 Verdächtigen und identifizierte 14.643 weitere mögliche Verdächtige auf allen Kontinenten.