Cobalt Strike: cybercriminali abusano del software per le attività di hacking

Il più apprezzato e diffuso software per le attività di red team si sta lentamente trasformando nello strumento prediletto per le attività di exploitation degli attaccanti.

Nell’ambito della cybersecurity esistono molteplici strumenti adatti per il monitoraggio della situazione online, della rete di un’organizzazione, o per un semplice controllo del proprio sistema. A questi si aggiungono quelli per la simulazione di attacchi, in modo da testare l’efficacia delle proprie misure di sicurezza.
Il più noto tra questi è senza dubbio Cobalt Strike, un software commerciale che permette di effettuare operazioni di red team, penetration test e vulnerability assessment, ma che negli ultimi tempi viene impiegato anche da collettivi criminali per effettuare attacchi informatici molto efficaci.
Ma come sempre andiamo con ordine e analizziamo l’argomento per gradi.

Due parole su Cobalt Strike

Cobalt Strike è un potente software che nasce dalla mente geniale di Raphael Mudge, abile ricercatore in ambito cyber security e ottimo programmatore. Interessatosi sempre più allo sviluppo di tool automatizzati e suite complete per aiutare la branca del red team, Mudge ha dapprima creato Armitage, un’interfaccia open source per Metasploit e solo in seguito Cobalt Strike.

Il software si presenta come una suite completa di Adversary Simulation, strumento grazie al quale è possibile condurre attività di penetration test in maniera efficace. Viste le sue capacità e relativa semplicità d’uso, Cobalt Strike è presto divenuto estremamente apprezzato sia da parte degli esperti di sicurezza informatica, che da semplici utenti interessati a impratichirsi con le tecniche di red team.

Infatti, i penetration test condotti grazie al supporto strategico di Cobalt Strike permettono al team di sicurezza di individuare immediatamente potenziali falle nella rete. Questo perché Cobalt Strike è in grado di simulare in maniera precisa tattiche, tecniche e procedure di tipo TTP: largamente impiegati dagli stessi attori della scena criminale, permettendo così di sviluppare contromisure efficaci e incrementare ulteriormente le misure di sicurezza di una determinata organizzazione.

Tra le caratteristiche chiave di Cobalt Strike, possiamo parlare di:

Reconnaissance: un potente motore in grado di rivelare il software lato client impiegato dall’obiettivo, con informazioni sul relativo versioning per individuarne le vulnerabilità.
Pacchetti exploit: una suite di pacchetti preconfezionati configurabili per condurre attacchi di ingegneria sociale, malware e trojan-horse mascherati da file innocui come Java Applet, programmi di Windows e documenti creati con la suite di Microsoft Office.
Cobalt Team Server: un server di collaborazione in cui è possibile condividere informazioni con team di attacco, comunicare in tempo reale e condividere il controllo remoto dei sistemi compromessi.
Beacon: un dropper post-exploit che permette l’apertura di backdoor nel sistema attaccato, per il deploying di script di PowerShell, logging di keystroke, ottenere screenshot delle schermate di sistema, scaricare file ed eseguire payload.
Convert Communication: permette agli attaccanti di modificare i propri indicatori di rete al volo. Rende possibile il caricamento di profili per comando e controllo remoto, facendoli apparire come se fossero attori intrinsechi al sistema. In più permette l’accesso ad una rete sfruttando i protocolli HTTP, HTTPS, DNS e SMB.
Browser Pivoting: un tool che permette agli attaccanti di aggirare l’autenticazione in due fattori.
Cobalt Strike è in sintesi una vera e propria suite per condurre in maniera completa tutti gli stadi di un attacco di tipo kill chain.

Il coltellino svizzero dei cybercriminali

Viste queste sue caratteristiche, Cobalt Strike è divenuto incredibilmente noto non solo tra gli esperti di cybersecurity, ma soprattutto tra i collettivi criminali interessati a servirsene per condurre attacchi mirati a organizzazioni, enti governativi e aziende.
Infatti, si tratta di una soluzione software versatile perfettamente in grado di creare software malevoli e camuffarli in modo da poterlo spiegare all’interno delle reti e lasciare che questo agisca in modo innocuo. In tal modo i cybercriminali, ingolositi dalle infinite possibilità messe a loro disposizione, hanno iniziato ad avvicinarsi alla tecnologia di Cobalt Strike per rimanere quasi del tutto invisibili agli scanner dei software anti-malware o alle misure di sicurezza delle reti in cui si infiltrano.

Per questo motivo viene spesso e volentieri definito “il coltellino svizzero dei cybercriminali”.
L’elemento più preoccupante del software è senza dubbio il modulo Beacon.

Questo perché, una volta effettuato il deploying di un payload realizzato con lo stesso, il software permette agli attaccanti di conservare una certa persistenza nella rete dell’organizzazione presa di mira. Ciò facilita di gran lunga le operazioni a lungo termine, come il furto dei dati sensibili, la manipolazione del traffico e la completa interruzione delle operazioni di rete.

A peggiorare la situazione ci pensa l’incredibile capacità del software di essere affiancato ad altri strumenti di hacking, che aumentano ulteriormente il suo potenziale di minaccia. Ad esempio, Cobalt Strike può essere usato in tandem con i servizi IAB (Initial Access Broker), con cui i cybercriminali possono infrangere senza problemi il perimetro delineato da una rete privata, potendo così muoversi liberamente al suo interno e impossessarsi di tutti i dati sensibili che viaggiano sulla stessa.

Stando ai dati dichiarati dai ricercatori Proofpoint, si stima che nel biennio 2019-2020 si è verificato un incremento dell’uso di Cobalt Strike come strumento di offesa nell’ambiente cybercriminale pari al 161%.
Tra i suoi principali utilizzatori troviamo la cybergang Karakurt, rea di aver messo a segno attacchi informatici contro ben 40 aziende, sfruttando proprio il modulo Beacon.

La risposta alla minaccia con le regole YARA

Il 31 marzo 2023 i rappresentanti di Microsoft, Health-ISAC e Fortra, l’attuale detentrice dello sviluppo di Cobalt Strike, si sono uniti in un collettivo che ha richiesto esplicitamente al tribunale di New York la confisca di tutti i nomi di dominio e gli indirizzi IP che ospitano versioni pirata del loro software.

Questa soluzione richiesta a gran voce fu necessaria per bloccare, seppur temporaneamente, l’uso di Cobalt Strike per condurre attacchi hacker.
Tuttavia, questa soluzione non fu la prima ad essere messa in atto, in quanto, già a partire da fine 2022, Google era scesa in campo con i suoi esperti della divisione Cloud Threat Intelligence e aveva aperto le danze con la lotta alle copie compromesse di Cobalt Strike e ai suoi utenti.
L’unione congiunta delle principali major del settore ha portato al rilascio di una versione aggiornata delle regole YARA.

Queste altro non sono che un insieme di firme e pezzi di linguaggi di programmazione, il cui scopo è individuare un pattern malevolo contenuto in un qualsiasi file eseguibile, o semplici documenti di testo.
Essendo presenti da diversi anni e implementate con successo in Kali Linux, queste nuove regole YARA sono versioni personalizzate per individuare immediatamente non solo software malevolo creato con Cobalt Strike, ma anche delle versioni non genuine circolanti in rete. Questo perché al loro interno sono presenti stringhe, condizioni, firme e metadati inerenti il software stesso, unito ad un hash che fa riferimento alle versioni pirata.

In conclusione

Cobalt Strike si trova nel bel mezzo di una dualità.
Da una parte, questo software rappresenta una manna dal cielo per i ricercatori e gli esperti di cybersecurity, mentre dall’altra è lo strumento perfetto per i criminali informatici. La sua architettura completa pronta all’uso ed estremamente collaudata e il costo irrisorio della sua licenza d’utilizzo, appena 3500 dollari, ha fatto sì che chiunque potesse metterci le mani e usarla per qualsiasi fine: che sia a scopo di ricerca o d’altro canto, a scopo criminale.

Questo dimostra l’esistenza di un trend in ampio sviluppo: i criminali tendono a preferire l’uso di software legittimi laddove è possibile per riuscire ad entrare nei perimetri delle organizzazioni.
Basti pensare a PowerShell di Microsoft, ai servizi di cloud sharing come Dropbox, MEGA o Google Drive. Tutto per un preciso motivo: ingannare il più possibile le loro vittime e far passare inosservate le loro azioni.
Data la crescente escalation di azioni criminali e la pericolosità che queste costituiscono, la regola fondamentale è sempre quella di non abbassare mai la guardia e cercare di tutelare il più possibile non solo la propria organizzazione, ma soprattutto la propria identità digitale.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, laureato in Informatica e Comunicazione Digitale e grafico ACP. Ha mosso i primi passi nel mondo dell’informatica grazie ai videogiochi, divenendo in seguito appassionato di motori grafici. Scrive per passione da quando aveva sei anni e non immaginava di certo che un giorno sarebbe diventata una sua professione.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.