Kilde: BBC

Lækkede hackerlogfiler viser svagheder i Ruslands cyberproxy-økosystem

Nyligt lækkede dokumenter fra Conti-banden giver fingerpeg om, hvordan vestlige regeringer og CISO’er bedre kan bekæmpe russiske proxy-hackere.

I næsten fire årtier har stater brugt stedfortrædende aktører til at udføre cyberoperationer. Dermed drager de fordel af forskellige lavintensitetsindsatser, der chikanerer, undergraver og indbrud i udenlandske konkurrenter og ofte skaber gunstige betingelser uden at risikere eskalering. Brug af fuldmagter, fra lejesoldatgrupper til kriminelle elementer og såkaldte “patriotiske hackere”, skaber en grad af plausibel benægtelse for stater og kan også medføre andre fordele. I nogle tilfælde har kriminelle organisationer for eksempel bedre adgang til jobspecifikt kodningstalent eller hackinginfrastruktur end staten, hvilket sparer staten for at skulle afsætte ressourcer til at udvikle ny kapacitet.

Men ikke alle fuldmagter er skabt ens. Så demonstrerer for nylig lækkede chatlogfiler fra den pro-russiske hackergruppe Conti, et outfit, der tilsyneladende ikke kun præsenterer sig som et legitimt firma for sit personale, men også klart strækker sig over en linje, der er kendt for de fleste virksomheder mellem politisk præference og forretningsinteresser.

Hvordan Conti og andre kriminelle grupper gavner Rusland

Conti er måske den mest berømte og velhavende ransomware-bande i verden. Bare det sidste år har gruppen rakket mere end 180 millioner dollars ind fra ofre, som de afpressede. Deres ofre kom fra alle dele af den vestlige industri og endda den offentlige sektor. Contis værktøjer var sofistikerede, og deres “kundeservice” -infrastruktur, der blev brugt til at hjælpe ofrene med at betale dem effektivt, var fremragende. Et stort angreb i 2021 på irske sundhedssystemer, der har kostet landet omkring 100 millioner euro i inddrivelsesomkostninger, vidner om sådanne kapaciteter. Alligevel synes udsigterne for gruppen at have ændret sig i de seneste uger, da Vladimir Putins krig mod Ukraine forårsagede en splittelse blandt medarbejderne.

Conti er en af mange kriminelle outfits, der længe har nydt godt af Ruslands eftergivende holdning til en sådan virksomhed. Den generelle tommelfingerregel i Rusland er enkel: Du må ikke opføre dig forkert i russisk IP-rum, og du vil ikke blive generet. Denne opsætning gavner russiske nationale interesser – såvel som oligarkernes interesser knyttet til Putins regime. Kriminelle outfits som Conti er forstyrrende kræfter i verden uden for Rusland, og politiske eliter tager ofte et snit af, hvad der er tjent.

Lige så ofte hyres hackergrupper og malwareudviklere til at hjælpe med at undergrave den vestligt ledede verdensorden på en mere politisk relevant måde. Nogle hjælper med at sprede desinformation. Andre stjæler intellektuel ejendomsret og private data fra værdifulde mål. Endnu andre hjælper med at kompromittere infrastrukturen i lande som USA og Canada, enten direkte under instruktion af statslige sikkerhedsstyrker eller indirekte som leverandører af de anvendte værktøjer eller infrastruktur.

Lækkede dokumenter afslører Conti-operationer og politiske skismaer

En række dokumenter lækket fra Contis interne filhåndterings- og virksomhedschatkonti har illustreret meget om, hvordan organisationen fungerer. Det er vigtigt, at lækkede filer viser, hvordan gruppens blandede kriminelle-politiske identitet har ført til et skisma blandt dens medarbejderbase og behovet for at suspendere mange aktiviteter, i det mindste indtil videre.

I kølvandet på Ruslands invasion af Ukraine blev Contis hjemmeside opdateret med en besked om fuld støtte til den russiske regering. På det tidspunkt blev dette skridt set som næsten usædvanligt af mange vestlige cybersikkerhedsanalytikere, da webstedet kun tidligere er blevet brugt til at liste navne på Conti-ofre. Dette synes sandsynligvis at være et resultat af den troskabspolitik, der styrer det tilladelige operationelle landskab, inden for hvilket Conti arbejder inde i Rusland.

Nogen tid senere ændrede denne webstedsmeddelelse sig. I sin anden gentagelse støttede budskabet mere bredt russiske klager, men gik generelt tilbage fra fuld hals støtte fra Kreml sammen med et tilbud om at angribe Ruslands udenlandske modstandere.

Denne holdningsændring fremgår næsten helt sikkert af, at Contis medarbejderbase indeholdt personer, der var glødende imod Putins invasion. Især en ukrainsk forsker, der havde infiltreret Conti, har været ansvarlig for, at mange af de lækkede oplysninger nu bliver poret over af vestlige analytikere. En Twitter-konto, @ContiLeaks, begyndte at offentliggøre oplysninger præcis en uge efter invasionens start, hvilket gav hidtil uset indsigt i bandeoperationer.

Mange lækkede chatlogfiler viser meget af, hvad du kan forvente af en bande som Conti, eller andre ransomware-as-a-service (Raas) outfits som Ryuk eller REvil, med hensyn til hackerkultur. Der er antisemitisk diskussion af den ukrainske leder Volodymyr Zelenskyj, kvindehad i massevis og usædvanlige besættelser af stykker af populær vestlig kultur som den kendte sikkerhedskommentator Brian Krebs. Måske af den mest umiddelbare overraskelse for mange analytikere har været den usædvanligt professionelle måde, hvorpå banden ser ud til at betragte sig selv som et legitimt firma, fyldt med kedelplade jobannoncesprog og (virkelig ret godt) onboarding-materiale.

Conti er “midlertidigt neutraliseret”

Den politiske virkelighed i gruppens operationer er der også at se, i hvert fald hvis man kan fortolke hackerslang og jargon i mange af de lækkede Jabber-tråde. På den ene side begyndte gruppemedlemmer at føle klemmen af vestlige sanktioner hurtigt efter invasionen den 21. februar, idet de klagede over manglende adgang til amerikanske varer (især teknologi) og i mange tilfælde fordoblede konspirationsteorier, putin har formuleret om ukrainske grusomheder og forbindelser til nynazisme.

 

På den anden side har der været klar forvirring over omdrejningen af organisationens erklæring og radiotavsheden fra virksomhedens chef, Stern. Denne forvirring blev for nylig behandlet i en meddelelse fra alle ansatte, hvor en stedfortræder beder medlemmerne om at tage et par måneders ferie, så Conti kan håndtere konsekvenserne af invasionen og omplacere sig selv for at opbygge en indtægtsstrøm igen.

Disse logfiler styrker en grundlæggende idé om, at cyberproxymiljøet for kriminelle organisationer, store som små i russisk-påvirkede territorier, er betinget og lydhør over for den samme loyalitetskultur, der synes allerede at have skabt nogle udfordringer inden for den russiske regering i de seneste uger. Contis forsøg på at lave en vis crowd control ved at moderere deres støtteerklæring kan have været et tveægget sværd for outfittet og især dets chef. Når alt kommer til alt, fortsatte i det mindste et par oprørte medarbejdere tydeligvis med at være utilfredse med gruppens holdning, og kovendingen er næppe den slags signaler, der foretrækkes af Kreml.

Læg dertil den sammenhæng, at cyberkriminelles tætte forbindelser til den russiske stat sandsynligvis i høj grad flyder gennem efterretningssamfundet, som selv gennemgår noget af en udrensning som reaktion på efterretningsfejl i begyndelsen af invasionen af Ukraine, og vi har en situation, hvor en værdifuld russisk cyberproxy midlertidigt er blevet neutraliseret af sine blandede politiske og operationelle imperativer.

Muligheder for bedre at forsvare sig mod russiske cyber-proxyer

Hvad betyder det for Vestens bestræbelser på bedre at bekæmpe cyber-stedfortrædere som Conti? For det første tyder denne udvikling på, at der sandsynligvis er muligheder for at true de økonomiske interesser i specifikke kriminelle operationer ved at tvinge spændinger omkring loyalitetsforholdet, der ligger til grund for deres tilladelse til at operere i et sikkert IP-rum. At binde sanktioner mod individuelle oligarker og forretningsmænd, der menes at være knyttet til Raas og andre cyberkriminelle aktiviteter som reaktion på selv begrænsede beviser for Conti (eller REvil eller Ryuk osv.) aktivitet, kunne tvinge et skift i, hvordan sådanne sofistikerede irritationsmomenter i det vestlige samfund fungerer. Dette kan navnlig være tilfældet i betragtning af den måde, hvorpå sådanne outfits synes at fungere som en slags kartel.

Data om ansættelsespraksis og mønstre, der findes i disse lækager, giver også en robust plan for fremtidige bestræbelser på at infiltrere og adskille sådanne operationer. Uddannelse og onboarding-information, der er scooped af insidere, bør være et must-read for dem i hele Vesten, der beskæftiger sig med at opbygge bedre cyberhygiejne og bedste praksis for beskyttelse af infrastruktur.

Vigtigt bør imidlertid være den brede erkendelse af, at de blandede politiske og forretningsmæssige identiteter af fuldmæle som Conti gør dem unikt svage. Især at være indlejret i det idiosynkratiske stof i Ruslands korrupte kleptokratiske politiske miljø gør sådanne aktører modtagelige for ikke-cyber-modforanstaltninger som dem, der er foreslået ovenfor. Uden en vis ændring i forholdet mellem Putins regime og Ruslands betydelige kriminelle elementer vil denne svaghed sandsynligvis kun blive mere udtalt, da landets forhold til både internettet og den globale økonomi går ind i en ny, mere afsondret fase.

Kilde: CSOonline

Scroll til toppen