BlackBerry Limited annonce, à l’occasion du BlackBerry Security Summit, la sortie du guide « Finding Beacons In the Dark : a Guide to Cyber Threat Intelligence ». Cet ouvrage détaille l’évolution et la prépondérance d’un des outils les plus utilisés par les acteurs de la menace : Cobalt Strike Beacon. Ce livre présente les moyens de se protéger contre les malveillances et explique comment une solution de cybersécurité Cyber Threat Intelligence (CTI) et une solution de détection de réponse (XDR) peuvent fournir, durant leur cycle de vie, un environnement propice qui bloque les menaces avant qu’elles n’apparaissent.

Initialement développé comme outil de simulation, Cobalt Strike est devenu une des méthodes les plus courantes utilisées aussi bien par les groupes APT[1] que par les cybercriminels. L’ouvrage présente les menaces auxquelles les organisations doivent actuellement faire face, propose un plan de défense, et décrit les liens entre les différentes cyberattaques que l’on pensait initialement non corrélées.

Largement utilisé par les red teams (équipes mandatées pour tester la sécurité des réseaux d’entreprises), Cobalt Strike est également communément employé par les cybercriminels du fait de sa flexibilité et son accessibilité. Ce logiciel, riche en fonctionnalités, permet de faciliter de nombreuses méthodes d’attaque et figure d’ailleurs parmi les favoris des groupes de hackers auxquels font appel certains États. Par ailleurs, il a également joué un rôle important dans la prolifération des ransomwares au cours de ces 18 derniers mois.

Pour les entreprises comme pour les cybercriminels, l’achat de malwares existants et d’outils connexes via des forums clandestins peut s’avérer nettement moins coûteux que le développement d’une technologie en interne. De ce fait, l’utilisation de Cobalt Strike semble tout indiquée pour ces acteurs. Mais du côté des autorités, l’attribution leur donne du fil à retordre. Ce défi peut être complexifié lorsque les groupes de cybermercenaires travaillent à la demande d’acteurs plus importants – comme des États/Nations par exemple.

Si la prolifération de Cobalt Strike dans le milieu criminel clandestin est inquiétante, son utilisation continue par des groupes APT sophistiqués est également un sujet particulièrement préoccupant. En octobre 2021, le groupe APT41 a utilisé ce logiciel dans des emails de phishing visant des citoyens indiens alors que de son côté, Dridex utilisait Cobalt Strike pour alimenter leurs récentes campagnes de phishing et de malspam.