شهدت السنوات الأخيرة انخفاضًا كبيرًا في استخدام القراصنة لأداة Cobalt Strike، حيث انخفضت الحالات الضارة بنسبة 80% خلال العامين الماضيين. جاء هذا الانخفاض نتيجة جهود مشتركة من Fortra (مالكة الأداة)، ووحدة الجرائم الرقمية في Microsoft، ومركز مشاركة المعلومات وتحليلها في قطاع الصحة (Health-ISAC)، والتي تمكنت من إزالة مئات الخوادم المرتبطة بالإصدارات المقرصنة من الأداة.
ما هي أداة Cobalt Strike؟
تُعد Cobalt Strike أداة شرعية تُستخدم في اختبارات الاختراق (Red Teaming) لمحاكاة أنشطة القراصنة واكتشاف نقاط الضعف في الأنظمة. ومع ذلك، تم سرقتها وتسليحها من قبل القراصنة لاستخدامها في هجمات حقيقية. كانت الأداة الأكثر شيوعًا بين القراصنة لسنوات، حيث استُخدمت في أكثر من ثلثي هجمات الأمن السيبراني التي تعتمد على أدوات الأمان الهجومية (OST)، متفوقة على منافستها Metasploit التي استُخدمت في أقل من 8% من الحالات.
يقول بوب إردمان، نائب رئيس البحث والتطوير في Fortra:
“عندما بدأنا هذه الجهود، كانت الأداة منتشرة على نطاق واسع حول العالم. ولكن مع زيادة الضغوط، أصبحت مقتصرة على دول أقل تعاونًا مع إنفاذ القانون الأمريكي، مثل روسيا والصين وهونغ كونغ.”
كيف يحصل القراصنة على Cobalt Strike؟
تبلغ تكلفة الاشتراك السنوي في Cobalt Strike ما يقرب من 10,000 دولار، ولا يمكن الحصول عليها بسهولة. يؤكد إردمان:
“لا نبيع الأداة لأي شخص. لدينا ضوابط وفحوصات خلفية للمشترين المحتملين.” ومع ذلك، تنتشر الأداة عبر طرق غير مشروعة، مثل سرقتها من الضحايا أو مشاركتها على منصات مثل VirusTotal أو Telegram.
جهود مكافحة الاستخدام الضار
تعود جهود استعادة السيطرة على Cobalt Strike إلى عام 2023، عندما قدمت Fortra وMicrosoft وHealth-ISAC دعوى قضائية بموجب قانون الألفية الجديدة لحقوق الطبع والنشر الرقمية (DMCA) ضد القراصنة الذين انتهكوا اتفاقيات الترخيص. في 31 مارس 2023، أصدرت محكمة مقاطعة نيويورك الشرقية أمرًا قضائيًا مؤقتًا يسمح لهذه المنظمات بمهاجمة البنية التحتية للقراصنة.
يقول إيرول وايس، رئيس الأمن في Health-ISAC:
“نقوم بتحليل البنية التحتية الضارة لفهم كيفية عملها وأين تذهب البيانات. في بعض الأحيان، يمكننا رؤية ما يراه القراصنة عند استخدامهم للأدوات الضارة.”
تمكنت الجهود المشتركة من إزالة أكثر من 200 نطاق ضار مرتبط بـCobalt Strike، مما أدى إلى تعطيل اتصال العملاء بالخوادم الرئيسية.
التحديات المستقبلية
على الرغم من النجاح الكبير في تقليل استخدام الأداة بنسبة 80%، إلا أن التحديات لا تزال قائمة. يمكن للقراصنة الانتقال إلى بنى تحتية جديدة، كما أن بعض الخوادم لا يمكن إزالتها بسبب تدخل جهات إنفاذ القانون أو مقدمي الخدمات.
يقول إردمان:
“هناك حالات تتدخل فيها جهات إنفاذ القانون وتطلب عدم لمس خادم معين بسبب ارتباطه بعمليات أخرى.” كما أن القضية القضائية لا تزال مستمرة، ومن المتوقع أن تستغرق عدة سنوات قبل الوصول إلى حكم نهائي.
نحو مستقبل أكثر أمانًا
تأمل Fortra وشركاؤها في مواصلة جهودهم لاستعادة السيطرة الكاملة على Cobalt Strike، مع توقع المزيد من الإجراءات القانونية ضد القراصنة. يقول إردمان:
“نحن نتعامل مع هذه القضية كمطالبة بحقوق الملكية الفكرية، ولكننا نأمل في رؤية المزيد من الاعتقالات في المستقبل.”
