Mentre il mondo stava lottando per fare i conti con lo scoppio della pandemia
di Covid-19 e le prime ondate di luglio 2020, i criminali informatici di tutto
il mondo hanno rivolto la loro attenzione alla crisi sanitaria. Il 16 luglio
di quell'anno, i governi di Regno Unito, Stati Uniti e Canada hanno pubblicamente
denunciato gli hacker militari russi sostenuti dallo stato per aver tentato di
rubare la proprietà intellettuale relativa ai primi candidati al vaccino.
Il gruppo di hacker Cozy Bear, noto anche come Advanced Persistent Threat 29
(APT29), stava attaccando aziende farmaceutiche e università utilizzando
malware alterato e vulnerabilità note, hanno affermato i tre governi.
"Ci sembrava di essere seguiti, poiché nel cortile c'erano auto sconosciute,
due corpi erano seduti in macchina".
Kagas, un membro in una chat trapelata
Giorni dopo, i leader hanno parlato del lavoro di Cozy Bear e hanno
fatto riferimento ai suoi attacchi ransomware. Stern, la figura simile a un
amministratore delegato e Professor, un altro membro anziano della gang,
hanno parlato della creazione di un ufficio specifico per "temi di governo".
I dettagli sono stati riportati per la prima volta a febbraio, ma sono inclusi
anche nelle più ampie fughe di notizie. Nella stessa conversazione, Stern ha detto
che avevano qualcuno "esternamente" che ha pagato il gruppo (anche se non è
specificato per cosa) e ha discusso di prendere il controllo degli obiettivi dalla
fonte. "Vogliono molto sul Covid in questo momento", ha detto il professor a Stern.
"Gli orsi coccolosi stanno già facendo la loro strada in fondo alla lista."
"Fanno riferimento alla creazione di un progetto a lungo termine e apparentemente
buttano via l'idea che [la parte esterna] potrebbe aiutare in futuro", afferma
Kimberly Goody, direttore dell'analisi del crimine informatico presso la società
di sicurezza Mandiant. "Riteniamo che sia un riferimento a se le azioni delle
forze dell'ordine venissero intraprese contro di loro, che questa parte esterna
potrebbe essere in grado di aiutarli in questo". Goody sottolinea che il gruppo
menziona anche Liteyny Avenue a San Pietroburgo, la sede degli uffici locali
dell'FSB.
Sebbene le prove dei legami diretti di Conti con il governo russo rimangano
sfuggenti, le attività della banda continuano a essere in linea con gli interessi
nazionali. "L'impressione dalle chat trapelate è che i leader capissero che
potevano operare purché seguissero le linee guida non dette del governo russo",
afferma Allan Liska, analista della società di sicurezza Recorded Future.
"Sembravano esserci state almeno alcune linee di comunicazione tra il governo russo
e la leadership".
Nell'aprile 2021 Mango, un manager chiave di Conti che aiuta a organizzare il
gruppo, ha chiesto al Professore: "Lavoriamo sulla politica?" Quando il Professore
ha chiesto maggiori informazioni, Mango ha condiviso i messaggi di chat che aveva
con una persona utilizzando l'handle JohnyBoy77: tutti i membri della banda
usano soprannomi per nascondere le proprie identità. I due stavano discutendo
di persone che "lavorano contro la Federazione Russa" e della potenziale
intercettazione di informazioni su di loro. JohnyBoy77 ha chiesto se i membri
potessero accedere ai dati di qualcuno legato a Bellingcat, i giornalisti
investigativi open source che hanno smascherato hacker russi e reti segrete
di assassini.
In particolare, JohnyBoy77 voleva informazioni legate all'indagine di Bellingcat
sull'avvelenamento del leader dell'opposizione russa Alexey Navalny. Hanno chiesto
informazioni sui file di Bellingcat su Navalny, hanno fatto riferimento
all'accesso alle password di un membro di Bellingcat e hanno menzionato l'FSB.
In risposta alle conversazioni di Conti, il direttore esecutivo di Bellingcat,
Christo Grozevm, ha twittato che il gruppo aveva precedentemente ricevuto un
suggerimento secondo cui l'FSB aveva parlato con un gruppo di criminalità
informatica sull'hacking dei suoi contributori. "Voglio dire, siamo patrioti o
cosa?" Mango ha chiesto al Professore dei file. "Certo che siamo patrioti",
hanno risposto.
Il patriottismo russo è costante in tutto il gruppo, che ha molti dei suoi
membri con sede nel paese. Tuttavia, il gruppo ha una portata internazionale,
ha membri in Ucraina e Bielorussia e ha legami con membri più lontani. Non tutto
il gruppo è d'accordo con l'invasione russa dell'Ucraina e i membri hanno discusso
della guerra. "Con la globalizzazione di questi gruppi di ransomware, solo perché
la leadership di Conti si è allineata bene con la politica russa non significa
che gli affiliati si siano sentiti allo stesso modo", afferma Liska. In una serie
di conversazioni risalenti all'agosto 2021, Spoon e Mango hanno parlato delle loro
esperienze in Crimea. La Russia ha invaso la Crimea e ha annesso la regione
dall'Ucraina nel 2014, una mossa che i leader occidentali affermano che avrebbero
dovuto fare di più per fermare. La zona era bellissima, dissero, ma Spoon non
la visitava da 10 anni. "Dovrò andare a dare un'occhiata l'anno prossimo", ha
detto Spoon. "Crimea russa".
Sebbene i membri del gruppo facciano riferimento agli interessi o alle agenzie
governative russe, è improbabile che lavorino per conto di funzionari. I membri
senior potrebbero avere contatti, ma è probabile che programmatori e programmatori
di rango e file non siano così ben collegati. "Penso che sia davvero un
sottoinsieme più limitato di attori che potrebbero effettivamente avere quelle
relazioni dirette, piuttosto che operazioni di gruppo nella sua interezza", dice
Goody.
Da quando i fascicoli interni di Conti sono stati pubblicati il 27 e 28 febbraio,
il gruppo ha continuato a lavorare. "Hanno sicuramente reagito", afferma Jérôme
Segura, direttore dell'intelligence sulle minacce presso la società di sicurezza
Malwarebytes. “Puoi vedere dalle chat che stavano chiudendo alcune cose e passando
alle chat private. Ma è stato davvero tutto come al solito". Il gruppo ha
continuato a pubblicare i nomi e i file delle vittime del ransomware sul proprio
sito Web nelle settimane successive alla fuga di notizie.
L'hacking di Conti continua nonostante i ricercatori di sicurezza utilizzino i
dettagli nelle fughe di notizie per nominare potenzialmente i singoli membri
del gruppo. La maggiore minaccia per il gruppo, tuttavia, potrebbe provenire
dallo stesso governo russo. Il 14 gennaio, la Russia ha intrapreso la sua
azione più significativa contro una banda di ransomware. L'FSB ha arrestato
14 membri del gruppo REvil dopo le soffiate di funzionari statunitensi, sebbene
il gruppo fosse rimasto in gran parte inattivo per diversi mesi. "Saranno presi
provvedimenti se le autorità russe riterranno che i leader siano sopravvissuti
alla loro utilità, ma se Conti è in grado di continuare o se sono in grado di
rebranding, probabilmente non ci sarà alcuna azione", prevede Liska. "Se verrà
intrapresa un'azione, sarà probabilmente simile all'azione intrapresa contro i
membri di REvil, con una serie di vistosi arresti, solo per rilasciare
silenziosamente la maggior parte degli arrestati circa un mese dopo".
Non è chiaro se le autorità intraprenderanno azioni simili contro i membri.
Ma sono stati paranoici anche prima che i loro dettagli fossero trapelati.
Nel novembre 2021, il membro dell'elite ha inviato un messaggio agitato a Stern.
"Ci sembrava di essere seguiti, poiché nel cortile c'erano macchine sconosciute,
due corpi erano seduti in macchina", hanno scritto. Kagas ha fatto riferimento a
un caso giudiziario e che avrebbero smesso di lavorare fino alla fine.
"Gli avvocati dicono che fino al 13 è meglio stare seduti in silenzio e non
fare nulla", ha detto Kagas. “Vivi una vita normale. E poi vedremo cosa succede".
Nessun commento:
Posta un commento