Operazione Morpheus: messi offline quasi 600 server Cobalt Strike usati dai criminali

L'Operazione Morpheus, un'azione congiunta delle forze dell'ordine coordinata dall' Europol, ha ottenuto un importante risultato nella lotta contro la criminalità informatica riuscendo a mettere offline quasi 600 server Cobalt Strike utilizzati dai cybercriminali per operazioni di infiltrazione, compromissione, sabotaggio ed estorsione.

Si è trattato di un'operazione su vasta scala, con la collaborazione delle forze dell'ordine di Australia, Canada, Germania, Paesi Bassi, Polonia e Stati Uniti e diretta dalla National Crime Agency del Regno Unito. Nel contesto dell'Operazione Morpheus si segnala anche la collaborazione del settore privato, con il coinvolgimentò di realtà come BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch e The Shadowserver Foundation, che hanno fornito supporto cruciale attraverso le loro capacità avanzate di scansione, telemetria e analisi.

La fase operativa si è consumata nella settimana dal 24 al 28 giugno, con l'identificazione di 690 indirizzi IP associati ad attività criminali verificatesi in 27 Paesi. Questi dati sono stati condivisi con i fornitori di servizi online, portando in ultima istanza alla messa offline di 593 indirizzi nel giro di brevissimo tempo. Quanto accaduto rappresenta l'epilogo di una complessa indagine che ha preso il via nel corso del 2021 e per la quale Europol ha operato come coordinatore delle attività organizzando oltre 40 riunioni tra le forze dell'ordine e le realtà private, oltre ad istituire un comando virtuale durante la settimana operativa per il coordinamento delle azioni globali.

Cobalt Strike è uno strumento originariamente sviluppato da Fortra (in precedenza nota come Help Systems) in maniera legittima per attività di penetration testing. Lo strumento è però divenuto nel corso degli anni una risorsa fondamentale per le attività dei cybercriminali: alcune versioni non autorizzate del software sono finite nelle mani di attori di minaccia, che lo usano correntemente per le loro attività criminose. In particolare Cobalt Strike viene utilizzato da diversi gruppi hacker affiliati a governi, che sfruttano lo strumento per mantenere un accesso persistente alle retri compromesse a seguito dell'accesso iniziale.

L'impiego di Cobalt Strike a scopo criminale ha messo in guardia non solo le società di sicurezza informatica, ma anche alcune grandi aziende: nel corso del mese di aprile dello scorso anno la stessa Fortra assieme a Microsoft, e all'Health Information Sharing and Analysis Center hanno lanciato un'azione legale di ampia portata contro i server che ospitavano copie pirata del software. In precedenza, nel mese di novembre del 2022, Google Cloud Threath Intelligence ha reso open source una raccolta di indicatori di compromissione e 165 regole YARA per aiutare analisti e responsabili di sicurezza a rilevare l'eventuale presenza di Cobalt Strike nelle reti manutenute.

L'Europol assicura che le attività dell'operazione non terminano qui: le forze dell’ordine continueranno a monitorare e a svolgere azioni simili finché i criminali continueranno ad abusare delle versioni precedenti dello strumento.