דיגיטל וטק
עוקץ המיליארדים ייעצר: זו כנופיית ההאקרים שעומדת לקרוס
אחד מקבוצות הכופר המרוויחות ביותר בשנה שעברה עומדת בימים אלה לקראת גסיסה, וזאת לאחר שאחד מחבריה ככל הנראה החליט על פעולת נקם. זה הצעד שנקט כדי להפיל את הקבוצה
קבוצה רוסית שזוהתה על ידי ה-FBI כאחת מקבוצות תוכנות הכופר הפוריות ביותר של 2021 עשויה להבין כעת איך זה מרגיש להיות קורבן של ריגול סייבר. סדרה של דליפות מסמכים חושפת פרטים על גודלה, המנהיגות והפעילות העסקית של הקבוצה המכונה Conti, כמו גם מה שנתפס כחזקתה היקרה מכולם: קוד המקור של תוכנת הכופר שלה.
שמואל גיחון, חוקר אבטחה בחברת מודיעין האיומים Cyberint, אמר ל-CNBC, כי הקבוצה קמה בשנת 2020 וגדלה לאחד מארגוני הכופר הגדולים בעולם. להערכתו יש בקבוצה כ-350 חברים שהרוויחו יחד כ-2.7 מיליארד דולר במטבעות קריפטוגרפיים תוך שנתיים בלבד.
ב-"Internet Crime Report 2021", הזהיר ה-FBI כי תוכנת הכופר של קונטי הייתה בין "שלושת הגרסאות המובילות" שכוונו לתשתית קריטית בארצות הברית בשנה שעברה. קונטי "פגעה לרוב את בגזרי הייצור הקריטי, המתקנים המסחריים ומגזרי המזון והחקלאות", אמרה הלשכה.
"הם היו הקבוצה הכי מצליחה עד לרגע זה", אמר גיחון.ב פוסט מקוון שניתח את ההדלפות, אמר Cyberint כי נראה כי ההדלפה היא מעשה נקמה, שמקורו בפוסט שתוקן מאז של Conti שפורסם בעקבות פלישת רוסיה לאוקראינה. הקבוצה יכלה לשמור על שתיקה, אבל "כפי שחשדנו, קונטי בחר לצדד ברוסיה, וכאן הכל הלך דרומה", אמר סייברינט.
ההדלפות החלו ב-28 בפברואר, ארבעה ימים לאחר פלישת רוסיה לאוקראינה. זמן קצר לאחר הפרסום, מישהו פתח חשבון טוויטר בשם "ContiLeaks" והחל להדליף אלפי הודעות פנימיות של הקבוצה לצד הצהרות פרו-אוקראיניות.
חשבון הטוויטר השבית הודעות ישירות, כך ש-CNBC לא הצליח ליצור קשר עם הבעלים שלו. בעל החשבון טוען שהוא "חוקר אבטחה", אמר לוטם פינקלשטיין, ראש מודיעין האיומים בצ'ק פוינט תוכנה נראה שהמדליף נסוג מטוויטר וכתב ב-30 במרץ: "המילים האחרונות שלי... נתראה אחרי הניצחון שלנו! תהילה לאוקראינה!"
and nothing more! pic.twitter.com/Jw1vi0SDve
— conti leaks (@ContiLeaks) March 1, 2022
חשבון הטוויטר השבית הודעות ישירות, כך ש-CNBC לא הצליח ליצור קשר עם הבעלים שלו. בעל החשבון טוען שהוא "חוקר אבטחה", אמר לוטם פינקלשטיין, ראש מודיעין האיומים בצ'ק פוינט תוכנה נראה שהמדליף נסוג מטוויטר וכתב ב-30 במרץ: "המילים האחרונות שלי... נתראה אחרי הניצחון שלנו! תהילה לאוקראינה!"
ההשפעה של ההדלפה על קהילת אבטחת הסייבר הייתה עצומה, אמר גיחון, שהוסיף כי רוב עמיתיו העולמיים בילו שבועות בבירור המסמכים. חברת אבטחת הסייבר האמריקאית Trellix כינתה את ההדלפה "מסמכי פנמה של תוכנות הכופר" ו"אחת מ"חקירות הסייבר במקור המונים" הגדולות ביותר שנראו אי פעם.
קונטי הוא מחתרתי לחלוטין ואינו מגיב לתקשורת כפי שלעיתים, למשל, אנונימוס יעשה זאת. אבל סייברינט, צ'ק פוינט ומומחי סייבר אחרים שניתחו את ההודעות אמרו שהם מראים שקנטי פועלת ומאורגנת כמו חברת טכנולוגיה רגילה.
לאחר שתרגם רבים מההודעות, שנכתבו ברוסית, אמר פינקלשטיין שזרוע המודיעין של החברה שלו, צ'ק פוינט מחקר, קבעה שלקונטי יש תפקידי ניהול, כספים ומשאב אנוש ברורים, יחד עם היררכיה ארגונית קלאסית עם ראשי צוות המדווחים להנהלה העליונה.
יש גם עדויות למחקר ופיתוח ("RND" להלן) ויחידות פיתוח עסקי, על פי הממצאים של Cyberint. ההודעות הראו שלקונטי יש משרדים פיזיים ברוסיה, אמר פינקלשטיין, והוסיף כי ייתכן שלקבוצה יש קשרים עם ממשלת רוסיה. "ההנחה שלנו היא שארגון כל כך ענק, עם משרדים פיזיים והכנסות אדירות לא יוכל לפעול ברוסיה ללא האישור המלא, או אפילו שיתוף פעולה כלשהו, עם שירותי הביון הרוסיים", אמר.
שגרירות רוסיה בלונדון לא הגיבה לבקשות CNBC להגיב. מוסקבה הכחישה בעבר כי היא לוקחת חלק במתקפות סייבר. זהות העובדים מוסווה גם על ידי ידיות, כמו שטרן ("הבוס הגדול"), בוזה ("המנהל הטכני") ו-Target ("שותפו של שטרן ומנהל המשרד האפקטיבי"), אמר צ'ק פוינט מחקר.
בתקשורת עם עובדים, ההנהלה הגבוהה הייתה לעיתים קרובות טוענת שעבודה עבור Conti היא עסקת החיים - משכורות גבוהות, משימות מעניינות, צמיחה בקריירה(!)", לפי צ'ק פוינט מחקר.
עם זאת, חלק מההודעות מציירות תמונה שונה, עם איומי סיום על אי תגובה להודעות במהירות מספקת - תוך שלוש שעות - ושעות עבודה במהלך סופי שבוע וחגים, אמר צ'ק פוינט מחקר. קונטי שוכר ממקורות לגיטימיים, כמו שירותי ציד ראשים רוסיים, וממחתרת הפלילית, אמר פינקלשטיין.
"למרבה הצער, יש לנו ראיות לכך שלא כל העובדים מודעים לחלוטין לכך שהם חלק מקבוצת פשעי סייבר", אמר פינקלשטיין. "עובדים אלה חושבים שהם עובדים בחברת פרסום, כשלמעשה הם עובדים עבור קבוצת תוכנות כופר ידועה לשמצה".
ההודעות מראים שמנהלים שיקרו למועמדים לעבודה על הארגון, כשאחד מהם אמר לשכיר פוטנציאלי: "הכל כאן אנונימי, הכיוון העיקרי של החברה הוא תוכנה עבור חודרים" - הכוונה לבודקי חדירה, שהם מומחי אבטחת סייבר לגיטימיים המדמים מתקפות סייבר נגד רשתות המחשבים של החברות שלהם.
בסדרה של הודעות, סטרן הסביר שהקבוצה שמרה על קודנים בחושך בכך שהם יעבדו על מודול אחד, או חלק מהתוכנה, ולא על כל התוכנית, אמר צ'ק פוינט מחקר. אם העובדים בסופו של דבר יבינו דברים, אמר שטרן, מציעים להם העלאת שכר כדי להישאר, על פי ההודעות המתורגמות.
עוד לפני ההדלפה, קונטי הראתה סימני מצוקה, לפי צ'ק פוינט מחקר. שטרן השתתק בסביבות אמצע ינואר, ותשלומי השכר הופסקו, לפי ההודעות. ימים לפני ההדלפה נכתב בהודעה פנימית: "היו הרבה הדלפות, היו... מעצרים... אין בוס, אין בהירות... גם אין כסף... אני חייב לבקש מכולכם לקחת 2 -3 חודשים חופשה".
למרות שהקבוצה נדדה, היא צפויה לעלות שוב, על פי מחקר של צ'ק פוינט. בניגוד ליריבתה לשעבר REvil - שחבריה רוסיה אמרה שהיא עצרה בינואר - קונטי עדיין פועלת "חלקית", אמרה החברה.
עוד ב-
הקבוצה שרדה מכשולים אחרים, כולל השבתה זמנית של Trickbot - תוכנית תוכנה זדונית בשימוש על ידי Conti - ומעצורים של כמה מקורבים חשודים בטריקבוט בשנת 2021. למרות המאמצים המתמשכים להילחם בקבוצות תוכנות כופר, ה-FBI צופה שהתקפות על תשתיות קריטיות יגדלו ב-2022.
הכתבות החמות
תגובות לכתבה(0):
תגובתך התקבלה ותפורסם בכפוף למדיניות המערכת.
תודה.
לתגובה חדשה
תודה.
לתגובה חדשה
תגובתך לא נשלחה בשל בעיית תקשורת, אנא נסה שנית.
חזור לתגובה
חזור לתגובה
