Kako ruska invazija na Ukrajinu ulazi u peti dan, koalicija predvođena SAD-om i Europom pokrenula je koordinirani odgovor usredotočen na financijske sankcije i, sve više, vojnu pomoć. Dok sukob raste u razmjerima i intenzitetu, uvlače se organizacije koje su daleko izvan vojnih i vladinih aparata, uključujući ransomware skupine kibernetičkih kriminalaca aktivne u Rusiji i Ukrajini.
To uplitanje u konflikt posebno je opasno u Rusiji, gdje su granice između hakera i ruskih obavještajnih službi ponekad porozne, a jedna je takva skupina sad itekako platila za svoju otvorenu odanost Putinovom režimu.
Šepurenje je trajalo dva dana
U petak je zloglasna ransomware banda Conti iznenadila mnoge eksplicitno se uključivši u Putinovu vojnu agendu, proglasivši davanje "pune podrške" ruskoj vladi i zaprijetivši da će izvesti kibernetičke napade na kritičnu infrastrukturu svih protivnika koji pokrenu kibernetičke napade na Rusiju.
Dva dana kasnije, 27. veljače, Contiju se šepurenje spektakularno izjalovilo kada je anonimna osoba objavila ogromnu količinu prethodno neobjavljenih informacija o internom radu te ransomware kriminalne skupine, iz predmemorije (cache) njihovog chata.
Pronađeni i dokazi povezanosti s ruskim režimom
Podaci koji su procurili sadrže više od godinu dana vrijedne zapise razgovora s open-source servisa za slanje poruka Jabber, za koje se pretpostavlja da pripadaju članovima te kibernetičke bande. Između ostalog, čini se da ti zapisi potvrđuju zapovjedni lanac koji povezuje Conti s ruskim obavještajnim agencijama.
Prema Christi Grozevu, izvršnom direktoru open-source obavještajne istraživačke grupe Bellingcat, zapisnici chata pokazuju da su članovi Contija pokušali hakirati suradnika Bellingcata po nalogu FSB-a, glavne ruske službe unutarnje sigurnosti.
Rusija je u prošlosti bila naširoko kritizirana zbog skrivanja kibernetičkih kriminalnih skupina, a uz određene iznimke, osobito javno uklanjanje hakerske grupe REvil od strane FSB-a u siječnju, uglavnom im je dopušteno nekažnjeno djelovati pod uvjetom da se suzdrže od napada na domaće mete. No, dok je blizina ruske vlade u prošlosti bila prednost za kibernetičke kriminalce, postoje neki znakovi da dinamika ukrajinske invazije to pretvara u odgovornost.
Anonimni ukrajinski stručnjak i infiltrirani agent u Contiju sve razotkrio
Iako identitet osobe koja je procurila zapise chata nije otkriven, Alex Holden, ukrajinski osnivač tvrtke za kibernetičku sigurnost Hold Security, rekao je da je zapise procurio ukrajinski sigurnosni istraživač koji se uspio infiltrirati u bandu Conti.
Ovo je ukrajinski državljanin, legitimni istraživač kibernetičke sigurnosti, koji to radi kao dio svog rata protiv kibernetičkih kriminalaca koji podržavaju rusku invaziju, rekao je Holden. Daljnje pojedinosti o njegovom identitetu ne mogu se otkriti bez opasnosti za njegovu sigurnost, rekao je Holden.
Poznate i Bitcoin adrese
Portal The Record također izvještava da zapisi chata sadrže Bitcoin adrese na koje su primljene uplate Contiju i poruke s detaljima pregovora između Contija i tvrtki koje nisu otkrile da su imale incidente s ransomwareom.
Bill Demirkapi, sigurnosni istraživač koji je objavio verziju zapisa prevedenu na engleski putem Googlea, potvrdio je za The Verge da su zapisnici sadržavali pojedinosti Contijeve tehničke infrastrukture, logističkih operacija, rasprave o ranjivostima nultog dana i pojedinosti o internom alatu. S obzirom na kratak vremenski okvir od objavljivanja dnevnika, rekao je Demirkapi, bilo je teško procijeniti dugoročni utjecaj koji će to imati na grupu.
Smanjena aktivnost kibernetičkog kriminala od početka invazije na Ukrajinu
Iako se smatra da su mnoge od najplodnijih grupa ransomwarea povezane s Rusijom, u praksi su mnoge od njih transnacionalni entiteti i uključuju raznolikost etničkih grupa i nacionalnosti, rekao je Chester Wisniewski, glavni istraživač u Sophosu. S obzirom na to da međunarodno mišljenje u velikoj mjeri favorizira Ukrajinu, mnogi od njih su se možda odlučili kloniti sukoba umjesto da izjavljuju potporu ruskoj invaziji.
Polarizirajuća priroda ovog sukoba, za koji se zapravo čini da je cijeli svijet protiv Rusije, znači da ima mnogo manje aktivnosti (kibernetičkog kriminala) nego što smo očekivali. Mislim da među pripadnicima ovih različitih skupina postoji mnogo simpatija za Ukrajinu, i kao rezultat toga oni to prešućuju, rekao je Wisniewski.
"Samo posao"
LockBit, još jedna ransomware kibernetička kriminalna skupina i zapravo konkurent Contiju, objavila je u nedjelju izjavu u kojoj kaže da grupa neće ciljati zapadnu infrastrukturu, navodno zbog međunarodnog sastava organizacije. Umjesto davanja bilo kakve potpore Ukrajini, u izjavi je proglašena neutralnost u sukobu.
Za nas je to samo posao i svi smo apolitični, stoji u poruci koju je objavio LockBit.
Politički haktivisti
Iako su ransomware bande (s izuzetkom Contija) oklijevale birati stranu, određene haktivističke skupine, koje su po definiciji političke, požurile su se pridružiti cilju. Haktivistička grupa koja djeluje iz Bjelorusije tvrdi da ometaju kretanje vojnih jedinica zatvaranjem željeznica u zemlji, nakon što je bjeloruska vlada pokrenula raketne napade na Ukrajinu i pristala podržati Rusiju slanjem vojnika preko ukrajinske granice.
Nadalje, Twitter račun povezan s Anonymousom objavio je da je taj hakerski kolektiv službeno u cyber ratu protiv ruske vlade, a grupa je preuzela odgovornost za niz DDoS napada i drugih hakiranja na web stranice i medijske kanale ruske vlade.
Stručnjaci upozoravaju na opasnost eskalacije i kolateralne štete
Iako bi druge skupine s ofenzivnim hakirajućim sposobnostima mogle biti u iskušenju da se pridruže sukobu, stručnjaci za kibernetičku sigurnost upozoravaju na eskalaciju. Bez obzira na namjeru, kibernetički napadi mogu imati nepredviđene posljedice, osobito ako su mete vezane uz infrastrukturu ili druge kritične usluge s nevojnim aplikacijama.
Zabrinut sam zbog kolateralne štete od 'dobrih momaka' i osvetnika. Poticanje ljudi da napadaju [cyber mete], za mene je to vrlo opasna situacija... nije riječ samo o nevinoj aktivnosti kad ne znate nuspojave, rekao je Wisniewski.
Izvor: The Verge