Zastavení zneužívání nástrojů zabezpečení kyberzločinci

31. března 2023 vydal americký soud pro východní obvod státu New York soudní příkaz, který společnostem Microsoft, Fortra a Health-ISAC umožňuje narušit škodlivou infrastrukturu používanou zločinci k provádění útoků. Díky tomu můžeme informovat příslušné poskytovatele internetových služeb a týmy CERT (Computer Emergency Readiness Team), které pomáhají vyřadit danou infrastrukturu z provozu a efektivně přerušit spojení mezi zločineckými operátory a infikovanými počítači obětí.

Společností Fortra a Microsoft při svém vyšetřovacím úsilí používaly detekci, analýzu, telemetrii a zpětnou analýzu spolu s dalšími daty a poznatky od globální sítě partnerů, které pomohly podpořit náš právní případ. To zahrnovalo Health-ISAC, tým Fortra Cyber Intelligence Team a data a poznatky týmu Analýzy hrozeb Microsoft. Naše akce se zaměřuje výhradně na narušení „prolomených“ starších kopií softwaru Cobalt Strike a napadeného softwaru Microsoft.

Microsoft také rozšiřuje právní metodu, která se úspěšně používá k narušování používání malwaru a operací státních aktérů a cílí na zneužívání nástrojů zabezpečení, které používá široké spektrum kyberzločinců. Narušení starších „prolomených“ kopií softwaru Cobalt Strike výrazně ztíží monetizaci těchto nelegálních kopií a zpomalí jejich používání při kybernetických útocích, což donutí zločince přehodnotit a změnit svou taktiku. Tato akce zahrnuje také vymáhání autorských práv v souvislosti se škodlivým používání softwarového kódu společností Microsoft a Fortra, který je pozměňován a zneužíván za účelem působení škod.

Společnosti Microsoft, Fortra a Health-ISAC nadále neúnavně usilují o zlepšení zabezpečení celého ekosystému a na tomto případu spolupracujeme s kybernetickým oddělením NCIJTF (National Cyber Investigative Joint Task Force) agentury FBI a Evropským centrem pro boj proti kyberkriminalitě v Europolu (EC3). I když tato akce ovlivní okamžité operace zločinců, plně předpokládáme, že se pokusí své úsilí obnovit. Naše akce tedy není jednorázová a nemůže být považována za dokončenou. Microsoft, Fortra a Health-ISAC budou spolu se svými partnery pokračovat v monitorování a přijímání opatření s cílem překazit další zločinecké operace včetně používání „prolomených“ kopií softwaru Cobalt Strike.

Fortra věnuje značné výpočetní a lidské zdroje na boj proti nelegálnímu používání svého softwaru a „prolomených“ kopií softwaru Cobalt Strike a pomáhá zákazníkům určit, jestli byly jejich softwarové licence napadeny. Legitimní odborníci na zabezpečení, kteří si zakoupí licence softwaru Cobalt Strike, jsou prověřeni společností Fortra a musí dodržovat omezení používání a kontrolní opatření týkající se exportu. Fortra aktivně spolupracuje se sociálními médii a weby pro sdílení souborů na odstraňování „prolomených“ kopií softwaru Cobalt Strike, pokud se na těchto webech objeví. Vzhledem k tomu, že zločinci přizpůsobili své techniky, upravila společnost Fortra kontrolní mechanismy zabezpečení v softwaru Cobalt Strike tak, aby eliminovaly metody používané k prolomení starších verzí softwaru Cobalt Strike.

Tak jak to dělá už od roku 2008, bude oddělení DCU společnosti Microsoft i nadále usilovat o zastavení šíření malwaru iniciováním občanskoprávních žalob na ochranu zákazníků ve velkém počtu zemí po celém světě, kde platí příslušné zákony. Budeme také pokračovat ve spolupráci s poskytovateli internetových služeb a týmy CERT při identifikaci obětí a nápravě.