Ngăn chặn tội phạm mạng lạm dụng công cụ bảo mật

Vào ngày 31/03/2023, Tòa án quận phía Đông New York của Hoa Kỳ đã ban hành án lệnh cho phép Microsoft, Fortra và Health-ISAC phá vỡ hạ tầng độc hại mà bọn tội phạm sử dụng để tạo điều kiện cho các cuộc tấn công của chúng. Điều này giúp chúng tôi thông báo cho các nhà cung cấp dịch vụ internet (ISP) và nhóm sẵn sàng cứu nguy cho máy tính (CERT) có liên quan, họ sẽ hỗ trợ xử lý hạ tầng ngoại tuyến, cắt đứt hiệu quả kết nối giữa bọn tội phạm và máy tính bị nhiễm của nạn nhân.

Các nỗ lực điều tra của Fortra và Microsoft bao gồm cả việc phát hiện, phân tích, đo từ xa và kỹ thuật đảo ngược, cùng với dữ liệu và thông tin chuyên sâu bổ sung để củng cố vụ việc pháp lý của chúng tôi từ mạng lưới đối tác toàn cầu, trong đó có dữ liệu và thông tin chuyên sâu của Health-ISAC, nhóm Thông tin về Mối đe dọa trên Mạng của Fortra và nhóm Microsoft Threat Intelligence. Hành động của chúng tôi chỉ tập trung vào việc phá vỡ các nội dung cũ, đã bị bẻ khóa của Cobalt Strike và phần mềm Microsoft bị xâm phạm.

Microsoft cũng đang mở rộng một phương pháp pháp lý được sử dụng thành công để phá vỡ các hoạt động của phần mềm xấu và do nhà nước hậu thuẫn, nhắm đến giải quyết việc lạm dụng các công cụ bảo mật mà nhiều kẻ phạm tội trên mạng sử dụng. Việc phá vỡ các nội dung cũ, đã bị bẻ khóa của Cobalt Strike sẽ cản trở đáng kể việc kiếm tiền từ những nội dung bất hợp pháp này và làm chậm việc sử dụng chúng trong các cuộc tấn công qua mạng, buộc bọn tội phạm phải đánh giá lại và thay đổi chiến thuật. Hành động hôm nay cũng bao gồm các khiếu nại về bản quyền đối với việc sử dụng sai trái mã phần mềm của Microsoft và Fortra, các mã này đã bị thay đổi và lạm dụng để gây hại.

Microsoft, Fortra và Health-ISAC vẫn không ngừng nỗ lực cải thiện tính bảo mật của hệ sinh thái và chúng tôi đang cộng tác với Bộ phận Mạng FBI, Lực lượng Đặc nhiệm Điều tra Mạng Quốc gia (NCIJTF) và Trung tâm Tội phạm Mạng Châu Âu của Europol (EC3) trong vụ này. Mặc dù hành động này sẽ ảnh hưởng đến hoạt động trước mắt của bọn tội phạm nhưng chúng tôi hoàn toàn dự đoán rằng chúng sẽ tìm cách khôi phục lại những nỗ lực của mình. Do đó, chúng tôi sẽ tiếp tục triển khai hành động của mình. Thông qua hành động pháp lý và kỹ thuật đang được thực hiện, Microsoft, Fortra và Health-ISAC cùng với các đối tác của chúng tôi sẽ tiếp tục theo dõi và thực hiện hành động để ngăn chặn các hoạt động tội phạm tiếp theo, bao gồm cả việc sử dụng các nội dung đã bị bẻ khóa của Cobalt Strike.

Fortra dành nguồn nhân lực và điện toán đáng kể để chống lại việc sử dụng bất hợp pháp phần mềm của mình và các nội dung đã bị bẻ khóa của Cobalt Strike, giúp khách hàng xác định xem giấy phép phần mềm của họ có bị xâm phạm hay không. Những người hành nghề bảo mật hợp pháp mua giấy phép Cobalt Strike đều được Fortra xem xét kỹ lưỡng và phải tuân thủ các hạn chế sử dụng cũng như kiểm soát hoạt động xuất. Fortra tích cực làm việc với các trang mạng xã hội và chia sẻ tệp để xóa các bản sao Cobalt Strike bị bẻ khóa khi chúng xuất hiện trên các thuộc tính web đó. Khi bọn tội phạm đã điều chỉnh các kỹ thuật của chúng, Fortra cũng đã điều chỉnh các biện pháp kiểm soát bảo mật trong phần mềm Cobalt Strike để loại bỏ các phương pháp được sử dụng để bẻ khóa các phiên bản Cobalt Strike cũ hơn.

Như chúng tôi đã làm kể từ năm 2008, DCU của Microsoft sẽ tiếp tục nỗ lực ngăn chặn sự phát tán của phần mềm xấu bằng cách nộp đơn kiện dân sự để bảo vệ khách hàng ở nhiều quốc gia trên thế giới nơi các luật này được áp dụng. Chúng tôi cũng sẽ tiếp tục làm việc với ISP và CERT để xác định và khắc phục cho nạn nhân.