De bonnes idées qui tombent entre de mauvaises mains peuvent causer d'énormes dégâts. Et tout cela se vérifie dans le cybermonde, où Cobalt Strike est devenu une sorte de méchant ogre. Cet outil a été créé à l'origine par des hackers éthiques pour aider les entreprises à tester la sécurité des systèmes informatiques, à évaluer les niveaux de sécurité et à analyser la réponse aux attaques potentielles. Mais le côté obscur est toujours à portée et lorsque des pirates informatiques ont vu l'énorme potentiel de Cobalt Strike, ils ont décidé d'exploiter cet outil à des fins cybercriminelles.
Cobalt Strike est particulièrement populaire grâce à « la polyvalence de son offre » et à un agent appelé « Beacon » qui permet d'obtenir un accès non autorisé, d'augmenter les niveaux de privilèges, d'exécuter des codes à distance et de voler des données ou de contribuer au camouflage, à la propagation ou encore au déplacement latéral. De plus, l'outil peut être facilement modifié pour ajuster de nouvelles capacités. Une version pirate et crackée est disponible sur des forums du dark web, et le code source de la version 4.0 a fait l'objet d'une fuite fin 2020. Cobalt Strike (CS) se réserve le droit de décider à qui elle vend son cadre. Cobalt Strike évite de vendre le produit aux fournisseurs de cybersécurité, car cela va à l'encontre de ses intérêts commerciaux. Cobalt Strike essaie également de s'abstenir de vendre le produit aux hackers Black Hat, car ces derniers ont connaissance du danger et se méfient.
La version crackée est donc celle dont tous ont besoin : aussi bien les hackers éthiques que les cybercriminels.
Les cybercriminels utilisent une variété de techniques et d'attaques. Ils veulent parfois être vus, provoquer des dégâts, comme c’est le cas par exemple dans le cadre des attaques par déni de service distribué (DDoS) contre des sites web. Pour d’autres, leur technique est de détourner l'attention d'autres attaques ou simplement tester leurs compétences, montrer leur force et faire les gros titres.
Mais à l'inverse, ils essaient aussi de se faufiler dans les systèmes sans être détectés, de ne pas éveiller les soupçons, de sorte que la menace reste indétectable le plus longtemps possible. C'est là qu'intervient Cobalt Strike, qui fait partie des campagnes financières et d'espionnage des plus grands groupes de pirates informatiques de ces dernières années, tels que Cozy Bear, Carbanak et Hancitor.
Même l'un des botnets les plus destructeurs, Trickbot, utilise Cobalt Strike depuis 2019 à des fins de reconnaissance et de propagation. En 2020, Trickbot a même utilisé Cobalt Strike pour diffuser le malware Anchor et le tristement célèbre ransomware Ryuk, qui a été utilisé, par exemple, dans une vague de cyberattaques contre des hôpitaux et des organismes médicaux , et d'autres organisations dans le monde entier. Cobalt Strike est également un composant populaire des attaques d'autres menaces telles que Bazaar, Qbot et le ransomware DoppelPaymer. En bref, Cobalt Strike est un outil précieux pour une grande variété d'attaques.
Nous avons examiné les groupes de pirates et les menaces qui utilisent les capacités et les fonctionnalités de Cobalt Strike. Que faut-il en ressortir exactement et quels sont les cas et les attaques spécifiques découverts par les équipes de sécurité ?
Par exemple, des pirates, vraisemblablement issus du groupe chinois TAG-22, ont utilisé Cobalt Strike dans les premières étapes d'une attaque d'espionnage contre des entreprises de télécommunications à Taïwan, au Népal et aux Philippines. Cobalt Strike a également été utilisé en combinaison avec le code malveillant BIOPASS, qui permet d'espionner les victimes, de déclencher des commandes et d'obtenir un accès à distance aux appareils, pour attaquer des sociétés chinoises de jeux en ligne. Et récemment, une attaque massive de ransomware a visé plus de 200 entreprises utilisant les systèmes de Kaseya. Kaseya avertit désormais que les pirates tentent d'imiter l'entreprise dans des campagnes de phishing et de diffuser Cobalt Strike à l'aide de pièces jointes ou de liens malveillants sous couvert d'une « mise à jour de sécurité ».
La liste complète des activités malveillantes serait trop longue, mais Cobalt Strike a récemment connu son moment de gloire dans l'une des plus grandes attaques au monde, celle de la chaîne d'approvisionnement de SolarWinds. Neuf agences gouvernementales américaines et plus d'une centaine d'organisations privées ont été attaquées, provoquant la panique. Et comment se fait-il que les pirates aient réussi à échapper à l'attention des équipes de sécurité de sociétés de technologie et de conseil de pointe telles que Microsoft et Cisco et d'agences gouvernementales telles que le ministère américain de la sécurité intérieure ? Comment se fait-il que l'attaque soit passée inaperçue pendant des mois et que les pirates aient pu passer d'un réseau local au cloud et accéder durablement à des données sensibles ?
Le malware Sunburst a très probablement été diffusé par une mise à jour infectée d'Orion en février 2020. Mais les chercheurs ont découvert que le malware Sunspot, non détecté auparavant, était déjà diffusé via une mise à jour de la plateforme de test en octobre 2019. L'un des outils qui a permis cet espionnage à long terme est Cobalt Strike. Deux chargeurs sophistiqués, Raindrop et Teardrop, ont été utilisés pour le diffuser dans la chaîne d'approvisionnement de SolarWinds.
Cobalt Strike est ainsi très populaire parmi les pirates informatiques et est utilisé pour diverses tâches. Un certain nombre de modifications sont disponibles, de sorte que les attaquants peuvent facilement choisir le contenu malveillant en fonction de leurs besoins. C'est sa popularité et son large éventail d'options de personnalisation qui rendent la détection et les enquêtes difficiles, car les attaques individuelles sont similaires. De ce fait, les campagnes peuvent difficilement être attribuées à des groupes de pirates spécifiques.
La cybercriminalité ne dort jamais. Lorsqu’une opportunité se présente, elle est immédiatement saisie. Et il ne s'agit pas seulement d'outils tels que Cobalt Strike, mais aussi de technologies et de moteurs d'IA. L’unique façon fiable permettant d’y faire face est donc d'utiliser impérativement une solution de sécurité préventive qui élimine de manière proactive toutes les menaces avant même qu'elles ne puissent pénétrer dans un appareil ou un réseau.