Operazione Morpheus: Europol colpisce duro il cybercrimine

In un'azione coordinata dall'Europol, chiamata Operazione Morpheus, quasi 600 server Cobalt Strike impiegati dai cybercriminali sono stati disattivati. Quest'importante risultato è stato raggiunto grazie alla collaborazione tra forze dell'ordine di diversi Paesi, tra cui Stati Uniti, Regno Unito, Germania, Australia, Canada, Paesi Bassi e Polonia, e il coinvolgimento di partner del settore privato come BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch, e The Shadowserver Foundation. Queste entità hanno offerto supporto essenziale attraverso capacità di scansione, telemetria e analisi avanzate. La fase operativa dell'Operazione Morpheus si è svolta tra il 24 e il 28 giugno ed è l'apice di un'indagine avviata nel 2021, durante la quale Europol ha coordinato le attività con oltre 40 riunioni tra rappresentanti delle forze dell'ordine e realtà private, istituendo anche un comando virtuale per la settimana operativa.

Cobalt Strike: da strumento legittimo a risorsa del cybercrimine

Cobalt Strike è stato creato da Fortra (precedentemente Help Systems) come legittimo strumento di penetration testing. Nel tempo, però, versioni piratate del software sono state sfruttate dai cybercriminali per condurre operazioni di infiltrazione, compromissione, sabotaggio ed estorsione. In particolare, gruppi di hacker affiliati a governi hanno trovato in Cobalt Strike una risorsa utile per mantenere accessi persistenti alle reti violate. Questo programma è così diventato una minaccia seria non solo per le società di sicurezza informatica, ma anche per grandi aziende globali preoccupate dalle capacità malevole che gli hacker riescono a ottenere sfruttandolo.

L'azione legale e i contributi delle grandi aziende

L'uso criminale di Cobalt Strike aveva già messo in stato di allerta diverse grandi aziende. Nell'aprile scorso, Fortra ha collaborato con Microsoft e l'Health Information Sharing and Analysis Center per avviare un'azione legale contro i server che ospitavano copie piratate del software. In una mossa precedente, a novembre 2022, Google Cloud Threat Intelligence aveva reso pubbliche una serie di indicatori di compromissione e ben 165 regole YARA, mirate ad aiutare analisti e responsabili di sicurezza a individuare la presenza di Cobalt Strike nelle reti aziendali. Queste iniziative evidenziano come il settore privato stia mettendo in campo risorse e soluzioni innovative per contrastare l'abuso di strumenti legittimi da parte del cybercrimine.

Previsioni future: vigilanza costante contro le minacce cyber

Europol ha dichiarato che l'Operazione Morpheus non rappresenta la fine delle attività contro l'abuso di Cobalt Strike da parte dei cybercriminali. Le forze dell'ordine e le entità coinvolte continueranno a monitorare e intraprendere azioni simili finché queste minacce persistono. La comunità della sicurezza informatica rimane dunque vigile e preparata a rispondere alle sfide poste dalle versioni piratate di strumenti di pentesting, confermando l'importanza di una costante collaborazione tra settore pubblico e privato per migliorare la sicurezza delle reti e prevenire attività criminali informatiche.