Kibernoziedznieku ļaunprātīgās drošības rīku izmantošanas apturēšana

2023. gada 31. martā ASV Ņujorkas Austrumu apgabala tiesa izdeva tiesas orderi, kas korporācijai Microsoft, uzņēmumam Fortra un organizācijai Health-ISAC atļauj izjaukt tās ļaunprātīgās infrastruktūras darbību, kuru noziedznieki izmanto, lai sekmētu savus uzbrukumus. Tas mums ļauj informēt atbilstošos interneta pakalpojumu sniedzējus (internet service provider — ISP) un datortrauksmes reaģēšanas komandas (computer emergency readiness team — CERT), kas palīdz atslēgt šo infrastruktūru, efektīvi pārtraucot kriminālo operatoru savienojumus ar inficēto upuru datoriem.

Fortra un Microsoft izmeklēšanas pūliņi ietvēra noteikšanu, analīzi, telemetriju un dekonstruēšanu ar papildu datiem un ieskatiem, lai stiprinātu mūsu juridisko lietu ar globālā partneru tīkla, tostarp Health-ISAC, Fortra kiberinformācijas komandas un Microsoft draudu informācijas komandas datiem un ieskatiem. Mūsu darbības pilnībā ir vērstas uz uzlauztu mantoto Cobalt Strike kopiju un apdraudētās Microsoft programmatūras darbības pārtraukšanu.

Microsoft paplašina arī juridisko metodi, kas sekmīgi izmantota, lai pārtrauktu ļaunprogrammatūras un plaša apjoma operāciju darbību, mērķējot uz drošības nīku nepareizu lietošanu, ko veic plaša spektra kibernoziedznieki. Uzlauztu mantoto Cobalt Strike kopiju darbības pārtraukšana ievērojami apgrūtinās šo pretlikumīgo kopiju monetizāciju un samazinās to izmantošanu kiberuzbrukumos, kas noziedzniekus piespiedīs pārvērtēt un mainīt savu taktiku. Šodienas darbības ietver arī autortiesību pārkāpumu prasības pret ļaunprātīgu tāda Microsoft un Fortra programmatūras koda izmantošanu, kas ir izmainīts un nepareizi lietots, lai nodarītu kaitējumu.

Microsoft, Fortra un Health-ISAC nerimstoši cenšas uzlabot ekosistēmas drošību, un šajā lietā mēs sadarbojamies ar FIB kibernodaļu, aģentūru National Cyber Investigative Joint Task Force (NCIJTF) un Europola Eiropas kibernoziegumu centru (European Cybercrime Centre — EC3). Lai gan šī darbība ietekmēs noziedznieku tūlītējās darbības, mēs pilnībā sagaidām, ka tie mēģinās atjaunot savus centienus. Tāpēc mūsu darbība nav tikai vienreizēja. Pastāvīgi veicot juridiskās un tehniskās darbības, Microsoft, Fortra un Health-ISAC kopā ar mūsu partneriem turpinās pārraudzīt turpmākās noziedzīgās darbības, tostarp uzlauztu Cobalt Strike kopiju izmantošanu, un rīkoties, lai tās izjauktu.

Fortra atvēl ievērojamus skaitļošanas un cilvēkresursus, lai apkarotu pretlikumīgu savas programmatūras un uzlauztu Cobalt Strike kopiju izmantošanu, palīdzot klientiem noteikt, vai to programmatūras licences nav apdraudētas. Fortra pārbauda likumīgos drošības praktiķus, kas iegādājas Cobalt Strike licences, un pieprasa ievērot lietošanas ierobežojumus un eksporta kontroli. Fortra aktīvi sadarbojas ar sociālo tīklu un failu koplietošanas vietnēm, lai noņemtu uzlauztās Cobalt Strike kopijas, kad tās parādās šajos tīmekļa īpašumos. Tā kā noziedznieki ir pielāgojuši savus paņēmienus, uzņēmums Fortra ir pielāgojis drošības vadīklas Cobalt Strike programmatūrā, lai novērstu paņēmienus, kas tika izmantoti, lai uzlauztu senākas Cobalt Strike versijas.

Jau no pašiem pirmssākumiem 2008. gadā Microsoft DCU turpina un turpinās savus centienus apturēt ļaunprogrammatūras izplatību, iesniedzot civilprasības, lai aizsargātu daudzu pasaules valstu klientus, kur to pieļauj likumdošana. Mēs arī turpināsim sadarbību ar ISP un CERT, lai noteiktu un koriģētu upurus.