Operation Morpheus: Kötü amaçla kullanılan 593 Cobalt Strike sunucusu kapatıldı

Uluslararası kolluk kuvvetleri, “Operation Morpheus” kapsamında  siber suçlular tarafından kurbanların ağına sızmak için kullandığı yaklaşık olarak 600 Cobalt Strike sunucusunu tespit ederek, 593 tanesini devre dışı bıraktı.

Eylül 2021’de başlatılan ortak operasyon İngiltere Ulusal Suç Ajansı (NCA) liderliğinde Avustralya, Kanada, Almanya, Hollanda, Polonya ve ABD’den yetkililerin katılımıyla gerçekleşti. Bulgaristan, Estonya, Finlandiya, Litvanya, Japonya ve Güney Kore’den yetkililer de ek destek sağlayanlar arasında yer aldı. Bunlara ek olarak özel sektörden şirketlerde operasyon içerisinde yer aldı.

Morpheus Operasyonu, suç faaliyetleriyle ilişkilendirilen bilinen IP adreslerini ve suç grupları tarafından kullanılan alan adlarını, Cobalt Strike’ın lisanssız sürümlerini devre dışı bırakmak amacıyla  internet servis sağlayıcılarına bildirmeyi içeriyordu.

Yaklaşık üç yıl önce başlatılan operasyon, 24-28 Haziran tarihleri arasında Europol’ün genel merkezinde koordine edildi. Bu kapsamda 27 ülkedeki 129 internet servis sağlayıcısında suç faaliyetleri ile bağlantılı olan toplamda 690 IP adresi tespit edilmiş. Tespit edilen bu adreslerden yaklaşık olarak 593 tanesi kapatılmış.

NCA’in açıklamasında, “Bu kesinti faaliyeti, NCA öncülüğündeki uluslararası kolluk kuvvetleri ve özel sektör arasında, kullanımını tespit etmek, izlemek ve kötülemek için iki buçuk yıldan fazla süren iş birliğini temsil ediyor” ifadeleri yer aldı.

Şu anda Forta şirketine ait olan Cobalt Strike, meşru bir ticari yazılım olmasına karşın lisanssız versiyonları pek çok kötü aktöre çok çeşitli saldırı yeteneklerini sağlıyordu. Bu zaman kadar yayınlanan  pek çok teknik raporda da RYUK, Trickbot ve Conti gibi bilinen ve bilinmeyen tehdit aktörleri tarafından Cobalt Strike’ın kullanıldığı tespit edilmişti.