Zastavenie zneužívania bezpečnostných nástrojov počítačovými zločincami

31. marca 2023 vydal obvodný súd pre východný obvod New Yorku súdny príkaz, ktorý povoľuje Microsoftu, spoločnosti Fortra a organizácii Health-ISAC odstaviť škodlivú infraštruktúru používanú zločincami na podporu svojich útokov. Tým nám umožňuje informovať príslušných poskytovateľov internetových služieb (ISP) a tímy reakcie na núdzové počítačové situácie (CERT), ktoré pomáhajú s odstavením tejto infraštruktúry, a teda prerušením spojenia medzi zločineckými prevádzkovateľmi a napadnutými počítačmi.

Spoločnosti Fortra a Microsoft v rámci svojho skúmania vykonali zisťovanie, analýzu, telemetriu a spätnú analýzu a na posilnenie tohto právneho prípadu použili ďalšie údaje a prehľady od globálnej siete partnerov vrátane údajov a prehľadov od organizácie Health-ISAC, tímu analýzy hrozieb spoločnosti Fortra a tímu Microsoft Analýza hrozieb. Naša činnosť je zameraná výhradne na odstavenie cracknutých starších kópií nástroja Cobalt Strike a zneužitého softvéru od spoločnosti Microsoft.

Microsoft tiež rozširuje legálnu metódu, ktorá sa úspešne použila na odstavenie škodlivého softvéru a operácií na celoštátnej úrovni, a to s cieľom zastaviť zneužívanie bezpečnostných nástrojov širokým spektrom počítačových zločincov. Odstavenie cracknutých starších kópií nástroja Cobalt Strike významne zbrzdí monetizáciu týchto nelegálnych kópií a ich používanie pri kybernetických útokoch, v dôsledku čoho budú musieť zločinci prehodnotiť a zmeniť svoju taktiku. Súčasťou dnešnej akcie je aj uplatnenie nárokov z titulu autorských práv vo vzťahu k škodlivému používaniu softvérového kódu spoločností Microsoft a Fortra, ktorý bol zmenený a zneužitý na účel spôsobenia škôd.

Microsoft, Fortra a Health-ISAC nepoľavujú v úsilí o zlepšenie zabezpečenia ekosystému a na tomto prípade spolupracujeme s oddelením boja proti počítačovej kriminalite úradu FBI, národnou vyšetrovacou pracovnou skupinou pre boj proti počítačovej kriminalite (National Cyber Investigative Joint Task Force – NCIJTF) a Európskym centrom boja proti počítačovej kriminalite (EC3) úradu Europol. I keď táto operácia ovplyvní bezprostredné operácie zločincov, vôbec nepochybujeme o tom, že sa svoju činnosť pokúsia obnoviť. Naša operácia preto nie je konečným riešením. Microsoft, Fortra a Health-ISAC spolu s partnermi budú prijímať ďalšie právne a technické kroky na monitorovanie a odstavenie ďalšej trestnej činnosti vrátanie používania cracknutých kópií nástroja Cobalt Strike.

Spoločnosť Fortra vyčleňuje významné počítačové a ľudské zdroje na boj proti nelegálnemu používaniu jej softvéru a cracknutých verzií nástroja Cobalt Strike, pričom zákazníkom pomáha pri určovaní toho, či boli ich softvérové licencie zneužité. Legitímni odborníci na zabezpečenia, ktorí si zakúpia licencie na Cobalt Strike, musia absolvovať preverenie spoločnosťou Fortra a dodržiavať obmedzenia použitia a kontroly exportu. Fortra aktívne spolupracuje so sociálnymi sieťami a lokalitami na zdieľanie súborov na odstránení cracknutých kópií nástroja Cobalt Strike, keď sa na týchto weboch objavia. Rovnako ako zločinci prispôsobujú svoje techniky, aj spoločnosť Fortra prispôsobuje kontrolné prvky zabezpečenia v softvéri Cobalt Strike tak, aby znemožňovali postupy používané na cracknutie jeho starších verzií.

Jednotka DCU spoločnosti Microsoft už od roku 2008 zastavuje šírenie škodlivého softvéru podávaním občianskoprávnych žalôb na ochranu zákazníkov vo veľkom počet krajín sveta, v ktorých platia takéto zákony, a v tomto úsilí bude pokračovať. Naďalej budeme pracovať aj na identifikácii a odškodňovaní obetí v súčinnosti s poskytovateľmi internetových služieb a tímami CERT.