Une opération de police internationale, baptisée MORPHEUS, a permis de démanteler près de 600 serveurs utilisés pour des activités cybercriminelles liées au malware Cobalt Strike.
Après trois ans d'investigation, Europol, en collaboration avec plusieurs agences internationales et avec l'aide de la société éditrice du logiciel incriminé, a orchestré une opération majeure visant à neutraliser une infrastructure de cybercriminalité utilisant le malware Cobalt Strike. Près de 600 serveurs ont été mis hors service, marquant une avancée significative dans la lutte contre les cybermenaces globales.
Une coopération internationale efficace
C'est un coup de filet plutôt spectaculaire. Entre le 24 et le 28 juin derniers, une vaste opération coordonnée par Europol a permis de mettre hors d'état de nuire 590 des 690 adresses IP identifiées comme liées à des activités criminelles. L'opération, dirigée par la National Crime Agency (NCA) du Royaume-Uni, a également pu compter sur la participation de forces de l'ordre de 27 pays, incluant l'Australie, le Canada, l'Allemagne, les Pays-Bas, la Pologne et les États-Unis, avec un soutien additionnel de pays comme la Bulgarie, la Finlande, le Japon, et la Corée du Sud.
Pour rappel, Cobalt Strike est un logiciel parfaitement légitime, développé par Fortra et régulièrement utilisé par les entreprises pour réaliser des simulations d'attaque et des tests de pénétration. S'il fait aujourd'hui les gros titres de l'actualité cyber, c'est parce que des hackers sont parvenus à dérober d'anciennes versions de l'outil pour les distribuer sans licence d'exploitation.
Pourquoi Cobalt Strike plutôt qu'un autre ? Tout simplement parce qu'il est reconnu pour sa polyvalence, sa facilité d'utilisation et son haut niveau de personnalisation qui permettent aux pirates de déployer des campagnes spécifiques, à l'image de Lockean, un ransomware ayant sévi en France en 2021. Plus récemment, il avait aussi été repéré dans l'exploitation d'une ancienne faille zero day sur Microsoft Office.
Europol : 2 ; cybercriminalité : 0
L'opération MORPHEUS a, de fait, nécessité une étroite collaboration entre les services de police internationaux et Fortra. Au terme de trois années d'investigation, les informations collectées par Europol ont permis à la société éditrice de Cobalt Strike de localiser les serveurs sur lesquels tournaient les copies pirates et de désactiver les versions sans licence incriminées.
MORPHEUS représente aussi la seconde opération d'envergure menée avec succès par Europol dans le cadre de la lutte contre la cybercriminalité. Fin mai, l'agence européenne de police annonçait avoir démantelé un vaste réseau criminel lié à la diffusion de ransomwares. Baptisée Endgame, l'opération avait notamment mis hors jeu plusieurs logiciels malveillants, parmi lesquels IcedID, SystemBC, Pikabot et Bumblebee.
20 décembre 2024 à 11h06
Sources : Europol, The Hacker News