Conti to działająca od co najmniej 2020 roku grupa ransomware, która zaatakowała do tej pory co najmniej 700 korporacji z całego świata. Podobnie, jak zlikwidowane niedawno ugrupowanie REvil, grupa Conti stała się jedną z twarzy oprogramowania ransomware i znajduje się w TOP 5 rosyjskich grup przestępczych.
Cybergang Conti w zeszłym roku w nielegalny sposób wygenerował 180 mln dolarów przychodu, a na początku wojny rosyjsko-ukraińskiej oficjalnie poparł rząd Putina, stając się jednym ze zbrojnych ramion realizujących swoje działania w cyberprzestrzeni.
Eksperci Check Point Research przeprowadzili szczegółową analizę opublikowanych niedawno przecieków z wojny informacyjnej, które ukazują Conti jako wysoce zorganizowaną grupę, w żaden sposób nie spełniającą wyobrażeń o „romantycznych hakerach”. Bardziej „romantyczni” są członkowie ugrupowania Lapsus$, którzy zhackowali NVidię, nietypowo żądając opublikowania kodu sterowników do kart graficznych… W przeciwnym razie (zagrozili) opublikują dane pozyskane z włamania.
Czy Rosja daje ciche przyzwolenie cyberprzestępczości?
Na początku roku rosyjskie służby (FSB) zlikwidowały organizację cyberprzestępczą REvil, będącą czołową grupą odpowiadającą za araki ransomware. Jednym z najważniejszych ataków, za którymi miało stać REvil, była kampania skierowana przeciwko Kaseya, twórcy rozwiązań IT.
Grupa stała również za potężnym atakiem na dostawcę żywności JBS, który za odszyfrowanie swoich systemów zapłacić około 11 mln dolarów w bitcoinach. Jak informowali Rosjanie, podczas nalotu skonfiskowano sprzęt komputerowy, portfele kryptowalutowe oraz 426 mln rubli, 600 tys. dolarów i pół miliona Euro. Co więcej, przejęto również 20 luksusowych samochodów, które kupione zostały z pieniędzy uzyskanych z przeprowadzonych kampanii. Akcja przeprowadzona została na wniosek i we współpracy z amerykańskimi organami.
Po głośnej akcji służb niektórzy doszli do wniosku, że być może Rosja w końcu odmówi tolerowania nieustannych ataków hakerskich pochodzących z jej terytoriów, które wymierzone były w biura zachodnich korporacji, a także uczelnie czy szpitale.
Dziś wiemy, że nadzieje te były naiwne, bo Conti zdecydowało się oficjalnie stanąć po stronie rosyjskiej armii, organizując wojnę cyfrową.
Szczegółowa analiza ugrupowania Conti
Firma Check Point Research uzyskała dane dotyczące wewnętrznych operacji grupy Conti, odpowiedzialnej za oprogramowanie ransomware sprzedawane jako usługa (RaaS).
Taki model umożliwia wynajęcie dostępu do infrastruktury w celu przeprowadzania ataków cybernetycznych. Zdaniem ekspertów, Conti ma siedzibę w Rosji i może mieć powiązania z rosyjskim wywiadem. Na przestrzeni ostatnich dwóch lat Conti zostało oskarżone o ataki ransomware wymierzone w dziesiątki firm, w tym giganta odzieżowego Fat Face i Shutterfly, a także infrastrukturę krytyczną, taką jak irlandzka służba zdrowia i inne sieci pierwszego reagowania.
27 lutego, za sprawą domniemanego informatora, który twierdził, że sprzeciwił się wsparciu grupy dla rosyjskiej inwazji na Ukrainę, wyciekła pamięć podręczna z logami czatów należących do Conti. Check Point Research analizując pliki, dowiedziało się, że grupa ransomware działa niczym duża firma technologiczna.
Hakerzy posiadają dział HR, proces rekrutacji, biura stacjonarne, wynagrodzenia oraz premie…
Conti posiada zdefiniowaną oraz hierarchiczną strukturę z team-leaderami, którzy raportują swoje poczynania do menedżerów wyższego szczebla. W grupie zatrudnieni są programiści, testerzy, eksperci ds. kryptografii, administratorzy systemów czy specjaliści ds. wstecznej inżynierii. Conti posiada również specjalistów ds. białego wywiadu oraz własnych negocjatorów.
Analitycy Check Point Research na podstawie zapisanych rozmów byli w stanie zidentyfikować (zobacz graf) część pracowników.
I tak:
- “Stern” to najprawdopodobniej główny szef grupy,
- “Bentley” jest liderem działu technicznego,
- “Buza” to menedżer techniczny,
- “Target” odpowiada za zarządzanie koderami i produktami grupy,
- “Veron” (aka Mors) odpowiada za operacje przeprowadzane z użyciem botnetu Emotet.
Wywiad cybernetyczny Check Pointa przekonany jest również o tym, że Conti posiada kilka fizycznych biur, które koordynuje Target – partner Sterna i skuteczny dyrektor operacyjny biura, który odpowiada również za fundusz płac, wyposażenie techniczne biura, proces rekrutacji oraz szkolenie personelu. W 2020 roku z biur korzystali głównie testerzy, zespoły ofensywne i negocjatorzy. W swojej korespondencji “Target” wymienia dwa biura przeznaczone dla operatorów, którzy rozmawiają bezpośrednio z przedstawicielami ofiar.
W sierpniu 2020 r. otwarto dodatkowe biuro dla administratorów i programistów pod nadzorem “Profesora”, który jest odpowiedzialny za cały proces techniczny zabezpieczenia infekcji ofiar.
Pensje, prowizje oraz kary finansowe
Członkowie zespołu negocjacyjnego Conti (w tym specjaliści OSINT) otrzymują prowizje obliczane jako procent od wpłaconego okupu, które wahają się od 0,5% do 1%. Koderzy i niektórzy menedżerowie otrzymują pensję w bitcoinach, przekazywaną raz lub dwa razy w miesiącu.
Pracownicy Conti nie są chronieni przez związki, więc muszą znosić pewne praktyki, których nie doświadczają typowi pracownicy techniczni, takie jak kary grzywny za gorsze wyniki.
Podczas gdy grzywny są najczęściej używane jako ustalone narzędzie w dziale koderów, są one również sporadycznie stosowane w związku z kaprysami menedżerów w innych działach – na przykład w IT i DevOps, gdzie jedna osoba odpowiedzialna za wpłacanie pieniędzy została ukarana grzywną w wysokości 100 USD za nieodebranie płatności.
Dział HR ma pełne ręce roboty
Głównym zasobem zwykle wykorzystywanym przez dział HR Conti są rosyjskojęzyczne serwisy headhunterskie, takie jak headhunter.ru. Wiadomo również, że HR-owcy korzystali z innych witryn, takich jak superjobs.ru, ale (podobno) z mniejszym powodzeniem. Conti OPSec zabrania jednak pozostawiania śladów ofert pracy dla programistów na takich stronach internetowych.
W przypadku zatrudniania programistów Conti omija system portalu headhunter.ru, a zamiast tego uzyskuje bezpośredni dostęp do puli CV i kontaktuje się z kandydatami przez e-mail.
Dlaczego headhunter.ru oferuje Conti taką usługę? Otóż nie robi tego, bo grupa po prostu „pożyczała” CV bez jakiegokolwiek pozwolenia, co wydaje się standardową praktyką w świecie cyberprzestępczości.
Niektórzy pracownicy Conti nie zdają sobie sprawy z tego, że biorą udział w operacjach cyberprzestępczych. Podczas jednej z rozmów kwalifikacyjnych, menedżer przekazał kandydatowi informację, że w firmie “wszystko jest anonimowe”, a głównym kierunkiem jest tworzenie oprogramowania dla pentesterów (czyli tzw. etycznych hakerów, analizujących podatności).
Innym przykładem jest członek grupy “Zulas”, który opracowywał backend Trickbota (trojan bankowy) w języku Erlang. Kiedy w rozmowie menedżer wspomina, że jego projekt dla “Tricka” (Trickbota) został zauważony przez połowę świata, “Zulas” nie ma pojęcia co stoi za tymi słowami. Nie wie również za co odpowiada tworzone przez niego oprogramowanie (otrzymuje za to odpowiedź, że pracuje nad backendem systemu analiz reklam) i dlaczego zespół dokłada wszelkich starań, aby chronić tożsamość członków.
Kompleksową analizę grupy Conti można przeczytać na blogu Check Point Research.
Po raz pierwszy uzyskaliśmy szeroki wgląd w grupę, która jest znana jako twarz oprogramowania ransomware. Conti działa jak firma high-tech. Widzimy setki pracowników zarządzanych przez menedżerów. Pojawia się dział HR, z osobami odpowiedzialnymi za koordynację różnych działów.
Mamy dowody na to, że nie wszyscy pracownicy są w pełni świadomi, że należą do grupy cyberprzestępczej. Innymi słowy, Conti jest w stanie rekrutować specjalistów również z legalnych źródeł. Ci są przekonani, że pracują dla agencji reklamowej, a nie grupy stojącej za ransomware.
Jest już dla nas jasne, że Conti wypracowało wewnętrzną kulturę generowania zysków, a także nakładania kar na pracowników za niepożądane zachowania. Widzimy też, że grupa posiada realne biura w Rosji.
Lotem Finkelsteen
Szef działu wywiadu zagrożeń w Check Point Research
“Firma” patrzy w przyszłość
Z uzyskanej korespondencji wynika, że Conti chce rozwijać swój biznes planując kolejne przedsięwzięcia. Wśród nich wymienia się giełdę kryptowalut oraz sieć społecznościową w darknecie. Giełda ma być stworzona we własnym ekosystemie grupy, natomiast medium społecznościowe ma być odpowiednikiem VK (rosyjska alternatywa Facebooka) dla darknetu lub Carbon Black dla hakerów. Pomysłodawcom projektów miał być “Stern”, a za ich realizację odpowiadał “Mango”. Oba przedsięwzięcia miały mieć charakter komercyjny. W lipcu 2021 roku Conti kontaktowało się z twórcą, który przygotował wstępne mockupy.
Czy ujawnienie powyższych informacji odprowadzi do zamknięcia Conti? Jest to wątpliwe. Conti jest “zbyt duży by upaść”.
Wyjątkiem może być szeroko zakrojona akcja służb i liczne aresztowania członków grupy, na wzór tych przeprowadzonych względem REvil. Przeciek jest jednak cennym studium przypadku zorganizowanych grup hakerskich.
Jeśli ktoś miał romantyczną wizję małej, pełnej pasji formacji, realizującej zaawansowane ataki na złe korporacje, powinien się z nią pożegnać. Nowoczesne, wyrafinowane zespoły hakerskie same organizują się na wzór korporacyjny, by osiągnąć jak najwyższą wydajność, a co za tym idzie najwyższe zyski.
