Europol, cinco entidades independientes y fuerzas del orden de siete países tomaron parte de la operación Morpheus, la cual marca el punto culmine de una compleja investigación que comenzó en 2001.
Una acción policial internacional denominada Operación MORPHEUS logró desmantelar 593 servidores utilizados por cibercriminales que abusaban de Cobalt Strike. La operación se llevó a cabo entre el 24 y el 28 de junio pasado y estuvo coordinada por Europol.
En la investigación también participaron entidades independientes como BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch y The Shadowserver Foundation, además de las fuerzas del orden de Reino Unido -país que lideró la operación a través de la Agencia Nacional contra el Crimen del Reino Unido-, Australia, Canadá, Alemania, Países Bajos, Polonia y los Estados Unidos.
Los investigadores en conjunto con las policías identificaron 690 direcciones IP y varios nombres de dominio asociados con actividades delictivas.
En un comunicado de prensa, Europol destacó el trabajo conjunto de las policías y las entidades privadas “para luchar contra el abuso de una herramienta de seguridad legítima por parte de delincuentes que la utilizaban para infiltrarse en los sistemas informáticos de las víctimas”.
Cobalt Strike es una popular herramienta comercial de la empresa de software de ciberseguridad Fortra, cuya finalidad es ayudar a los expertos en seguridad informática a realizar simulaciones de ciberataques que identifiquen debilidades en las operaciones de seguridad y respuestas a incidentes. Desde Europol comentaron que cuando estas herramientas caen “en las manos equivocadas, pueden proporcionar a un actor malintencionado una amplia gama de capacidades de ataque.
Diego Vargas, especialista de ciberseguridad en NIVEL4, comparte esa opinión y comenta que «las herramientas de seguridad legítimas, como Cobalt Strike, pueden ser utilizadas por actores maliciosos para atacar a empresas y personas inocentes, lo cual hace parecer que su existencia sea una muy mala idea. Sin embargo, estas herramientas fuerzan a los desarrolladores y organizaciones a mejorar su software e infraestructura, para evitar las brechas de seguridad. A la larga, esto resulta en una mejor seguridad en general, lo que beneficia a todo el mundo».
En esa misma línea, la empresa Fortra señaló que estaba tomando medidas importantes para evitar el abuso de su software, y por esa misma razón, se asoció con las fuerzas del orden a lo largo de la investigación, con el objetivo de «proteger el uso legítimo de sus herramientas”, indicaron.
Europol explica que los cibercriminales han robado versiones anteriores de esta herramienta y han creado copias pirateadas para obtener acceso a las máquinas mediante una puerta trasera e implementar malware, lo que se ha evidenciado en otras investigaciones en las que han actuado actores maliciosos como RYUK, Trickbot y Conti.
La participación de entidades privadas fue muy importante para el éxito de la acción, quienes aportaron en la implementación de capacidades mejoradas de escaneo, telemetría y análisis.
En el caso de las fuerzas policiales, el Centro Europeo de Ciberdelincuencia (EC3) de Europol ha participado de la investigación desde 2021.
Para la coordinación de a la operación las autoridades policiales y privadas utilizaron una plataforma MISP en la que compartieron 730 elementos información de amenazas en tiempo real, lo que equivale a 1,2 millones de indicadores de compromisos.
Junto a la lista de países que apoyaron directamente la operación, también se prestó colaboración de parte de otras autoridades en Bulgaria, Estonia, Finlandia, Lituania, Corea del Sur y Japón.