Hace unos días en GitHub encontraron un repositorio Cobalt Strike, que resultó ser una herramienta de hacking bastante costosa.

Edition Bleeping Computer anuncia que en el código fuente de GitHub se encontraron Cobalt Strike.

Esta herramienta comercial legítima fue creada para pentesters y equipos rojos. Se centra en la explotación y posexplotación. Cobalt Strike es amada por los piratas informáticos, grupos APT gubernamentales y diferentes operadores de ransomware. A pesar de que no está disponible para los usuarios normales y la versión completa cuesta $ 3,500, los atacantes encuentran formas de usarlo. Por ejemplo, confiando en versiones antiguas, pirateadas, con jailbreak y no registradas.

Por lo general, los atacantes usan versiones comprometidas de Cobalt Strike para obtener un acceso remoto a una red comprometida y usarla durante ataques de ransomware.

Un juguete para los mayores

Según la publicación, hace unos días apareció un repositorio en GitHub que contiene los códigos fuente de Cobalt Strike. Según el archivo src/main/resources/about.html, estas son las fuentes de Cobalt Strike versión 4.0, lanzada el 5 de diciembre de 2019.

Archivo .txt con la descripción del repositorio publicado en GitHub
Descripcion del código publicado

Además, la verificación de la licencia está comentada en el código, lo que esencialmente permite que el programa se “crackea” cuando alguien decide compilarlo.

Captura de la linea del codigo relacionada con la licencia

El experto en seguridad de la información Vitali Kremez de Advanced Intel, quien estudió el código fuente a pedido de los periodistas, informa que, en su opinión, este código Java fue descompilado manualmente. Después de eso, el desconocido se deshizo de todas las dependencias y verificaciones de licencias para que la herramienta pudiera compilarse nuevamente.

Desde la publicación de este repositorio, ya ha tenido 172 bifurcaciones. Esto hace que sea mucho más difícil contener la distribución posterior de la fuente.

Vitaly Kremez advierte que esta filtración podría tener graves consecuencias, ya que “quita la barrera de entrada en el camino a la obtención de una herramienta y facilita enormemente la tarea de obtener y cambiar el código para grupos delictivos”. El especialista recuerda que tras la filtración del código fuente, muchas herramientas maliciosas y ofensivas “viven su propia vida” durante años. Ha citado a Zeus 2.0.8.9 y TinyNuke como ejemplos.

Los reporteros de Bleeping Computer contactaron a los desarrolladores de Cobalt Strike, la compañía Help Systems. Querían recibir comentarios sobre la autenticidad del código publicado en GitHub, pero no recibieron respuesta.