Haktivister

Hackergruppen Conti erklære sig klar til at ramme infrastruktur til støtte for den russiske regering

Med ransomware-gruppens udmelding følger omvendt en trussel fra hacktivistgruppen Anonymous til at foretage cyberangreb mod russiske mål.

Den berygtede cyberkriminelle gruppe bag ransomware, Conti, har offentligt annonceret sin fulde støtte til den russiske regering, mens landets hær invaderer Ukraine og truer med at ramme den kritiske infrastruktur for alle, der lancerer cyberangreb eller krigshandlinger mod Rusland.

Annonceringen fra Conti kommer efter nogle Twitter-konti, der hævder tilknytning til Anonymous hacktivist kollektivet, erklærede “cyberkrig” mod den russiske regering og tog æren for distribueret denial-of-service (DDoS) angreb mod Russia Todays hjemmesider, Kreml og det russiske forsvarsministerium.

Inddragelsen af hacktivists- og cyberkriminalitetsgrupper i konflikten, til støtte for den ene eller den anden side, kan eskalere i en spiral af angreb og give dækning for destruktive handlinger instrueret af offentlige myndigheder.

Hvem er Conti?

Conti er efterfølgeren til den berygtede Ryuk-gruppe, der har ramt hundredvis af virksomheder og offentlige organisationer siden 2018. Ryuk og Conti menes at være den samme gruppe som stod bag TrickBot botnet, som ofte er blevet brugt til at distribuere Ryuk virussen.

Ifølge en advarsel fra CISA og FBI i september blev Conti brugt i over 400 angreb mod amerikanske og internationale organisationer. Ligesom Ryuk er Conti et manuelt indsat ransomware-program, hvor hackere først bryde ind i organisationer og bruger manuel hackingteknikker til at opnå administrative rettigheder i miljøer. Det betyder, at gruppen har de nødvendige færdigheder til at iværksætte sofistikerede angreb.

“Conti Team annoncerer officielt en fuld støtte fra den russiske regering,” Conti-gruppen meddelte fredag på hjemmesiden, som den bruger til at sende oplysninger om ofre og true dem med datalækager. “Hvis nogen vil beslutte at organisere et cyberangreb eller nogen krigsaktiviteter mod Rusland, vil vi bruge alle vores ressourcer til at slå tilbage på deres kritiske infrastrukturer.”

Patriotisme eller statslige agenter

Hvorvidt Conti’s meddelelse er styret af patriotiske følelser eller sker på ledelse af russiske statslige agenter er svært at sige, men russiske efterretningstjenester er kendt for at have påberåbt sig cyberkriminelle elementer i deres operationer til dækning i fortiden. “Den russiske regering har stolet på denne strategi i næsten et årti,” fortæller CSO, Michael DeBolt, chief intelligence officer hos Intel 471. “Vi ved, evgeniy Bogachev og Gameover ZeuS blev gearede af den russiske regering sidste årti til intel formål. En anden berygtet russisk-forbundet trussel skuespiller, Maksim Yakubets, blev observeret at være direkte selvvalgt af Ruslands føderale sikkerhedstjeneste. Derudover har kortbutikker som Joker’s Stash og hændelser som SolarWinds hack også været knyttet til økonomisk motiverede cyberkriminelle, mens de også tjener efterretningsformål for Rusland. Vi har ingen efterretninger, der tyder på, at Conti gør det lige nu, men det er helt muligt.”

Conti bruges måske til at aflede opmærksomheden fra den russiske regering

I januar anholdt Ruslands føderale sikkerhedstjeneste (FSB) to hackere forbundet med REvil ransomware, hvoraf den ene er mistænkt for at være direkte ansvarlig for angrebet på Colonial Pipeline i 2021. Anholdelserne kom, efter at præsident Joe Biden i en samtale sidste år advarede Vladimir Putin om, at USA er klar til at skride til handling, hvis ransomware-grupper, der opererer fra Rusland, ikke stoppes. Anholdelserne blev hilst velkommen af sikkerhedsindustrien, men blev i vid udstrækning set som et skridt til at lette diplomatiske spændinger og ikke som en langsigtet forpligtelse fra russiske myndigheder til at retsforfølge hackere.

DeBolt mener, at det ikke ville være overraskende, hvis Conti tager ansvar for angreb på operatører af kritisk infrastruktur i fremtiden og bliver brugt som dække for statsstyrede handlinger. “Vi ved, at Ruslands Sandworm-gruppe, som er knyttet til den russiske regering, har vist færdigheder i angreb på kritisk infrastruktur, efter at have været bundet til angrebet i 2015, der resulterede i omfattende strømafbrydelser i Ukraine,” siger han. “Men det er muligt, at Conti (og potentielt andre russisk-baserede hackergrupper) bliver instrueret og til opgave af den russiske regering som dække for at indsætte angreb mod amerikanske og vestlige kritiske infrastruktur. Da præsident Biden meget specifikt advarede om, at ethvert cyberangreb mod amerikansk kritisk infrastruktur vil blive mødt med alvorlige cyberangreb som reaktion, ville brugen af Conti på denne måde gøre det muligt for den russiske regering at nå sine mål med plausibel benægtelse.”

Russian Business Networks

Der er en vis forrang for dette. Den russisk-georgiske krig i 2008 blev ledsaget af cyberangreb mod internetinfrastruktur og officielle hjemmesider i Georgien. Nogle industrirapporter på det tidspunkt beskyldte angrebene på et cyberkriminalitetskollektiv kaldet Russian Business Networks, men nogle analytikere påpegede, at de værktøjer, der blev brugt til at starte angrebene, blev tilpasset og forberedt på forhånd, og at nogle af angrebene blev lanceret fra servere, der tilhører russiske teleselskaber. En talsmand for den russiske regering citeret af New York Times sagde dengang, at enkeltpersoner i Rusland eller andre steder kunne have påtaget sig at starte angrebene.

Et DHS-notat distribueret til kritiske infrastruktur operatører og statslige og lokale regeringer i januar advarede om, at afhængigt af NATO og USA’s reaktion på en russisk invasion af Ukraine, kunne Rusland overveje at iværksætte destruktive cyberangreb mod usa’s kritiske infrastruktur, CNN rapporterede på det tidspunkt.

Rekruttering af hackere

I mellemtiden, Reuters rapporterede torsdag, at en rekruttering opfordring til frivillige til at deltage i offensive og defensive cyber operationer blev lagt ud på en ukrainsk hacker forum af medstifteren af en Kiev-baserede cybersikkerhedsselskab, der hævdede anmodningen kom fra det ukrainske forsvarsministerium.

Anonymous selv er et kollektiv af frivillige hacktivister uden et centraliseret lederskab, der organiserer sig i undergrupper, der opererer i mange regioner i verden. Disse grupper har iværksat angreb som reaktion på en lang række spørgsmål fra politisk til økonomisk med enten lokaliserede eller globale konsekvenser.

Kilde: CSOonline

da Danish
X
Scroll til toppen