Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Da sempre sono stati sospettati legami tra il cybercrime russo e il Cremlino, anche se mai ce ne sia stata una prova tangibile. I dati fuoriusciti dai server di Conti ransomware, sono un tesoro di informazioni che ci consentono di comprendere al meglio questo fenomeno, analizzato con precisione e da Wired.
Per anni, i gruppi di criminalità informatica russi hanno agito con relativa impunità. Il Cremlino e le forze dell’ordine locali hanno in gran parte chiuso un occhio sugli attacchi dirompenti del ransomware purché non abbiano preso di mira le società russe.
Nonostante la pressione diretta su Vladimir Putin affinché affronti i gruppi di ransomware, sono ancora intimamente legati agli interessi della Russia.
Una recente fuga di notizie da uno dei più famigerati gruppi criminali, fornisce uno sguardo sulla natura di quei legami e su quanto possano essere importanti.
Una cache di 60.000 messaggi e file di chat trapelati dal famigerato gruppo di ransomware Conti fornisce scorci di come la banda criminale sia ben collegata con il Cremlino.
I documenti, recensiti da WIRED e pubblicati online per la prima volta alla fine di febbraio da un anonimo ricercatore di cybersecurity ucraino che si è infiltrato nel gruppo, mostrano come Conti opera quotidianamente.
Probabilmente, queste informazioni riveleranno ulteriormente come i membri di Conti abbiano legami con il Servizio di sicurezza federale (FSB) e un’acuta consapevolezza delle operazioni degli hacker militari sostenuti dal governo russo.
Mentre il mondo stava lottando con lo scoppio della pandemia di Covid-19 e le prime ondate di maggio 2020, i criminali informatici di tutto il mondo hanno rivolto la loro attenzione alla crisi sanitaria. Il 16 luglio di quell’anno, i governi di Regno Unito, Stati Uniti e Canada hanno pubblicamente denunciato gli hacker militari russi sostenuti dallo stato per aver tentato di rubare la proprietà intellettuale relativa ai primi candidati al vaccino.
Il gruppo di hacker Cozy Bear, noto anche come Advanced Persistent Threat 29 (APT29), stava attaccando aziende farmaceutiche e università utilizzando malware alterato e vulnerabilità note, affermaronl i tre governi.
“Ci sembrava di essere seguiti, poiché nel cortile c’erano auto sconosciute, e due persone sinistre erano sedute in macchina”.
Riporta Kagas, un membro di Conti, in una chat trapelata.
Giorni dopo, il leader di Conti ha parlato del lavoro di Cozy Bear e hanno fatto riferimento ai suoi attacchi ransomware. “Stern”, una figura molto simile ad un amministratore delegato di Conti, e “Professor”, un altro membro anziano della gang, hanno parlato della creazione di un ufficio specifico per “temi di governo”.
I dettagli sono stati riportati per la prima volta da WIRED a febbraio, ma sono inclusi anche nelle più ampie fughe di notizie di Conti trapelate online.
Nella stessa conversazione, Stern ha detto che avevano qualcuno di “esterno” che ha pagato il gruppo (anche se non è specificato per cosa) e ha discusso di prendere in consegna gli obiettivi.
“Vogliono molto sul Covid in questo momento”, ha detto “professor” a “Stern”. “Cozy Bear sta già facendo la loro parte su questa storia”.
E poi continua:
“Fanno riferimento alla creazione di un progetto a lungo termine e apparentemente dicono che la parte esterna potrebbe aiutare in futuro”
afferma Kimberly Goody, direttore dell’analisi del crimine informatico presso la società di sicurezza Mandiant.
“Riteniamo che sia una protezione alle azioni delle forze dell’ordine, qualora venissero intraprese contro di loro e che questa parte esterna potrebbe essere in grado di aiutarli in questo”.
Goody sottolinea che il gruppo menziona anche Liteyny Avenue a San Pietroburgo, la sede degli uffici locali dell’FSB .
Sebbene le prove dei legami diretti di Conti con il governo russo rimangano sfuggenti, le attività della banda continuano a essere in linea con gli interessi nazionali oramai da molto tempo.
“L’impressione dalle chat trapelate è che i leader di Conti capissero che potevano operare purché seguissero quelle linee guida non dette del governo russo”
afferma Allan Liska, analista della società di sicurezza Recorded Future.
“Sembrano esserci state alcune linee di comunicazione tra il governo russo e la leadership di Conti”.
Nell’aprile 2021 “Mango”, un manager chiave di Conti che aiuta a organizzare il gruppo, ha chiesto a Professor: “Lavoriamo sulla politica?”. Quando Professor ha chiesto maggiori informazioni, Mango ha condiviso i messaggi di chat che aveva con una persona che utilizzava il nick JohnyBoy77. Tutti i membri della banda usano soprannomi per nascondere le proprie identità. I due stavano discutendo di persone che “lavorano contro la Federazione Russa” e della potenziale intercettazione di informazioni su di loro.
JohnyBoy77 ha chiesto se i membri di Conti potessero accedere ai dati di qualcuno legato a Bellingcat, i giornalisti investigativi open source che hanno smascherato hacker russi e reti segrete di assassini.
In particolare, JohnyBoy77 voleva informazioni legate all’indagine di Bellingcat sull’avvelenamento del leader dell’opposizione russa Alexey Navalny. Hanno chiesto informazioni sui file di Bellingcat su Navalny, hanno fatto riferimento all’accesso alle password di un membro di Bellingcat e hanno menzionato l’FSB.
In risposta alle conversazioni di Conti, il direttore esecutivo di Bellingcat, Christo Grozevm, ha twittato che aveva precedentemente ricevuto un suggerimento secondo cui l’FSB aveva parlato con un gruppo di criminalità informatica dei suoi contributori.
“Voglio dire, siamo patrioti o cosa?”
Mango ha chiesto al Professor. “Certo che siamo patrioti”, ha risposto.
Il patriottismo russo è costante in tutto il gruppo Conti, che ha molti dei suoi membri con sede nel paese. Tuttavia, il gruppo ha una portata internazionale, ha membri in Ucraina e Bielorussia e ha legami con membri più lontani. Non tutto il gruppo è d’accordo con l’invasione russa dell’Ucraina, ei membri hanno discusso di questa guerra.
“Solo perché la leadership di Conti si è allineata con la politica russa, non significa che gli affiliati siano tutti d’accordo allo stesso modo”
afferma Liska. In una serie di conversazioni risalenti all’agosto 2021, Spoon e Mango hanno parlato delle loro esperienze in Crimea. La Russia ha invaso la Crimea e ha annesso la regione dall’Ucraina nel 2014. La zona era bellissima, dissero, ma Spoon non la visitava da 10 anni. “Dovrò andare a dare un’occhiata l’anno prossimo”, ha detto Spoon. “Crimea russa”.
Sebbene i membri del gruppo facciano riferimento agli interessi o alle agenzie governative russe, è improbabile che lavorino per conto di funzionari. I membri senior di Conti possono avere contatti, ma è probabile che programmatori di base non siano altrettanto ben connessi.
“Penso che sia davvero un sottoinsieme limitato di attori che potrebbero effettivamente avere quelle relazioni dirette, piuttosto che operazioni di gruppo nella sua interezza”
dice Goody.
Da quando i fascicoli interni di Conti sono stati pubblicati il 27 e 28 febbraio, il gruppo ha continuato a lavorare. “Hanno sicuramente reagito”, afferma Jérôme Segura, direttore dell’intelligence sulle minacce presso la società di sicurezza Malwarebytes.
“Puoi vedere dalle chat che stavano chiudendo per passare alle chat private. Ma è stato davvero tutto come al solito”.
Il gruppo ha continuato a pubblicare i nomi e i file delle vittime del ransomware sul proprio sito Web nelle settimane successive alla fuga di notizie.
Le attività di Conti continuano nonostante i ricercatori di sicurezza utilizzino i dettagli nelle fughe di notizie di Conti per nominare potenzialmente i singoli membri del gruppo. La minaccia maggiore per il gruppo, tuttavia, potrebbe venire dallo stesso governo russo. Il 14 gennaio, la Russia ha intrapreso la sua azione più significativa contro una banda di ransomware.
L’FSB ha arrestato 14 membri del gruppo REvil dopo le soffiate dei funzionari statunitensi, sebbene il gruppo fosse rimasto in gran parte inattivo per diversi mesi.
“Saranno presi provvedimenti se le autorità russe riterranno che i leader di Conti non siano più utili, ma se Conti è in grado di continuare o se sono in grado di effettuare un rebranding, probabilmente non ci sarà alcuna azione”
prevede Liska.
“Se verrà intrapresa un’azione, sarà probabilmente simile all’azione intrapresa contro i membri di REvil, con una serie di vistosi arresti, solo per rilasciare silenziosamente la maggior parte degli arrestati un mese dopo”.
Non è chiaro se le autorità intraprenderanno azioni simili contro i membri di Conti. Ma sono stati paranoici anche prima che i loro dettagli fossero trapelati.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cybercrime
Vulnerabilità
Innovazione
Cyber Italia