L’outil Cobalt Strike n’est plus aux mains des cybercriminels, ou presque. Les services de police de 13 pays se sont coordonnés dans une opération d’envergure pour démanteler près de 600 serveurs sur lesquels tournait ce redoutable outil de piratage.
Depuis la fin 2023, le malware Cobalt Strike se répand notamment, via de fausses publicités Google se faisant passer pour l’utilitaire CPU-Z. On l’a vu depuis employé dans de nombreuses campagnes d’infection. Mais il semblerait que la carrière du logiciel malveillant soit maintenant terminée, ou alors bien menacée : Europol a mené une opération de démantèlement hors-norme contre les pirates derrière Cobalt Strike.
Cobalt Strike, une aubaine pour les pirates néophytes
À l’origine, Cobalt Strike est un outil employé par les experts en cybersécurité pour simuler l’intrusion de cybercriminels. Le logiciel développé par Fortra est employé pour tester les défenses des infrastructures IT des entreprises, afin d’identifier les faiblesses de leurs systèmes. Mais l’outil est tombé au mains des cybercriminels eux-mêmes, qui l’ont bien vite modifié pour en faire un redoutable outil de piratage.
Surtout, les versions piratées de Cobalt Strike ouvrent un monde pour les néophytes. “Les versions illégales de ce logiciel ont contribué à abaisser la barrière d’entrée dans la cybercriminalité, permettant aux criminels en ligne de déclencher plus facilement des ransomwares et des attaques de logiciels malveillants avec peu ou pas d’expertise technique“, indiquait dans un communiqué le directeur de l’agence de cybersécurité du Royaume-Uni.
Fortra avait toutefois encore la possibilité de désactiver ces copies dépourvues de licences d’utilisation. Il suffisait pour l’entreprise de mettre la main sur les serveurs à partir desquelles elles tournaient. La police lui a donné cette occasion fin juin.
Europol lance l’opération Morpheus contre les versions piratées de Cobalt Strike
En effet, Europol a procédé au démantèlement de près de 600 serveurs lors d’une opération baptisée Morpheus. Ces machines constituait l’essentiel de l’infrastructure employée par les cybercriminels pour opérer Cobalt Strike. Cette opération de répression aurait eu lieu entre le 24 et le 28 juin, selon le communiqué Europol. Les licences pirates sont maintenant désactivées.
À lire > Microsoft Defender est impuissant face au malware Raspberry Robin
Sur les 690 adresses IP signalées aux FAI de 27 pays comme étant associées à des activités criminelles, 590 ne sont plus accessibles. L’opération conjointe, qui a débuté en 2021, était dirigée par la National Crime Agency (NCA) du Royaume-Uni. Ce sont également les pays suivants qui ont apporté leur soutien à l’opération :
- Allemagne
- Australie
- Canada
- Pays-Bas
- Pologne
- États-Unis
- Bulgarie
- Estonie
- Finlande
- Lituanie
- Japon
- Corée du Sud
Une opération internationale d’envergure donc, pour mettre fin à l’utilisation malveillante de cet outil. Des opérations d’ingénierie sociale visaient notamment les PC Windows 11 pour prendre le contrôle des machines de leurs victimes. Les assaillants y installaient alors Cobalt Strike pour les prendre en otage.
- Europol a lancé une opération contre les serveurs sur lesquels tournaient les versions piratées de Cobalt Strike.
- Cet outil employé dans l’industrie de la cybersécurité a été détourné de son usage premier par les pirates.
- Cette opération internationale d’envergure met des batons dans les roues à de multiples campagnes malveillantes.
