Prawica

Gdy rosyjska inwazja na Ukrainę wkracza w piąty dzień, koalicja kierowana przez USA i Europę przygotowała skoordynowaną reakcję skoncentrowaną na sankcjach finansowych i, w coraz większym stopniu, pomocy wojskowej. Podczas gdy konflikt nabiera skali i intensywności, wciągane są organizacje daleko wykraczające poza aparat wojskowy i rządowy — w tym grupy ransomware działające w Rosji i na Ukrainie. To przyciąganie grawitacyjne jest szczególnie napięte w Rosji, gdzie granice między hakerami a rosyjskimi służbami wywiadowczymi są czasami nieszczelne, a w szczególności jedna grupa została zmuszona do zapłaty za lojalność wobec reżimu Putina. W piątek znany gang Conti zajmujący się oprogramowaniem ransomware zaskoczył wielu obserwatorów, wyraźnie rzucając swój los na agendę wojskową Putina: deklaracja „pełnego wsparcia” dla rosyjskiego rządu i grożąc atakiem na infrastrukturę krytyczną wszelkich adwersarzy przeprowadzających cyberataki na Rosję. Dwa dni później, 27 lutego, postawa Conti okazała się spektakularna, gdy anonimowa osoba wyciekła z pamięci podręcznej dzienników czatów organizacji, ujawniając ogromną ilość wcześniej niepublikowanych informacji na temat wewnętrznych działań grupy ransomware. Wyciekły dane z ponad rocznych dzienników czatów z komunikatora Jabber o otwartym kodzie źródłowym, zawierających wiadomości między co najmniej 20 uchwytami czatu, które prawdopodobnie należą do członków gangu. Między innymi te dzienniki wydają się potwierdzać łańcuch dowodzenia łączący Conti z rosyjskimi agencjami wywiadowczymi. Według Christo Grozeva, dyrektora wykonawczego grupy badawczej Bellingcat zajmującej się wywiadem open source, dzienniki czatów pokazują, że członkowie Conti próbował zhakować współpracownika Bellingcat na rozkaz głównej służby bezpieczeństwa wewnętrznego Rosji, FSB. W przeszłości Rosja była szeroko krytykowana za ukrywanie grup cyberprzestępczych i z pewnymi wyjątkami – zwłaszcza publicznego obalenia grupy hakerskiej REvil przez FSB w styczniu – w dużej mierze wolno im działać bezkarnie, pod warunkiem, że powstrzymają się od atakowania celów krajowych. Ale chociaż bliskość rosyjskiego rządu była w przeszłości zaletą dla cyberprzestępców, istnieją pewne oznaki, że dynamika inwazji na Ukrainę zamienia ją w obciążenie. Chociaż tożsamość przeciekacza nie została ujawniona, Alex Holden, urodzony na Ukrainie założyciel firmy zajmującej się cyberbezpieczeństwem Hold Security, powiedział, że logi zostały ujawnione przez ukraińskiego badacza bezpieczeństwa, któremu udało się przeniknąć do gangu Conti. „To obywatel Ukrainy, legalny badacz cyberbezpieczeństwa, który robi to w ramach swojej wojny przeciwko cyberprzestępcom wspierającym rosyjską inwazję” – powiedział Holden. Holden powiedział, że dalsze szczegóły tożsamości przeciekającego nie mogą zostać ujawnione bez narażania jego bezpieczeństwa. „To jest obywatel Ukrainy… który robi to w ramach swojej wojny z cyberprzestępcami, którzy wspierają rosyjską inwazję” The Record donosi również, że dzienniki czatu zawierają adresy Bitcoin, na które otrzymano płatności dokonane na rzecz gangu Conti, oraz wiadomości ze szczegółowymi informacjami negocjacje między Conti a firmami, które nie ujawniły incydentu z oprogramowaniem ransomware. Bill Demirkapi, badacz bezpieczeństwa, który opublikował wersję dzienników przetłumaczone na angielski za pośrednictwem Google, potwierdził The Verge, że dzienniki zawierały szczegóły dotyczące infrastruktury technicznej Conti, operacji logistycznych, omówienia luk zero-day oraz szczegóły dotyczące narzędzi wewnętrznych. Biorąc pod uwagę krótki czas od wydania dzienników, Demirkapi powiedział, że trudno było ocenić długoterminowy wpływ, jaki będzie to miało na grupę. Chociaż uważa się, że wiele z najbardziej płodnych grup oprogramowania ransomware jest powiązanych z Rosją, w praktyce wiele z nich to podmioty ponadnarodowe i obejmują różne grupy etniczne i narodowościowe, powiedział Chester Wiśniewski, główny naukowiec w Sophos. Ponieważ opinia międzynarodowa w przeważającej mierze faworyzuje Ukrainę, wielu z nich mogło zdecydować się omijać konflikt, zamiast deklarować poparcie dla rosyjskiej inwazji. „Spolaryzowana natura tego konfliktu – który w rzeczywistości wydaje się być całym światem przeciwko Rosji – oznacza, że ​​jest o wiele mniej”. [cybercriminal] aktywność niż się spodziewaliśmy” – powiedział Wiśniewski. „Myślę, że wśród członków tych różnych grup jest dużo sympatii dla Ukrainy, w wyniku czego oni ją wyrzekają”. „Dla nas to tylko biznes i wszyscy jesteśmy apolityczni” LockBit, inna grupa zajmująca się oprogramowaniem ransomware i faktycznie konkurująca z Conti, wydała w niedzielę oświadczenie, w którym stwierdziła, że ​​grupa nie będzie atakować zachodniej infrastruktury, rzekomo ze względu na międzynarodowy skład organizacji. Zamiast deklarować poparcie dla Ukrainy, oświadczenie deklarowało neutralność w konflikcie. „Dla nas to tylko biznes i wszyscy jesteśmy apolityczni” – mówi wiadomość opublikowana przez LockBit. Chociaż gangi zajmujące się oprogramowaniem ransomware (z wyjątkiem Conti) niechętnie wybierają strony, niektóre grupy haktywistów – które z definicji mają charakter polityczny – pospieszyły, aby przyłączyć się do sprawy. Grupa haktywistów działająca z Białorusi twierdzi, że zakłóca ruch jednostek wojskowych poprzez zamykanie linii kolejowych w tym kraju po tym, jak władze białoruskie rozpoczęły ataki rakietowe na Ukrainę i zgodziły się wesprzeć Rosję, wysyłając wojska przez granicę ukraińską. Osobno konto na Twitterze powiązane z Anonimem oświadczyło, że kolektyw hakerski „oficjalnie toczył cyberwojnę przeciwko rosyjskiemu rządowi”, a grupa przyznała się do szeregu ataków DDoS i innych włamań na rosyjskie rządowe strony internetowe i kanały medialne. Chociaż inne grupy z ofensywnymi możliwościami hakerskimi mogą ulec pokusie dołączenia do konfliktu, specjaliści od cyberbezpieczeństwa ostrzeżono przed eskalacją. Niezależnie od intencji, cyberataki mogą mieć nieprzewidziane konsekwencje, szczególnie jeśli cele są powiązane z infrastrukturą lub innymi krytycznymi usługami z aplikacjami poza wojskiem. „Martwię się o dodatkowe szkody ze strony „dobrych facetów”, strażników – powiedział Wiśniewski. „Zachęcanie ludzi do ataku [cyber targets]że dla mnie jest to bardzo niebezpieczna sytuacja… to nie jest tylko niewinna czynność, kiedy nie znasz skutków ubocznych.”