Как главная хакерская группировка России Conti пыталась взломать Украину и что известно об их связях с Кремлем

Знакомьтесь, Conti

Помимо хакеров, которые работают непосредственно на Кремль, Россия уже давно является домом для многочисленных хакерских группировок, действующих с ее территории. Одной из самых известных считается группировка Conti, а одноименная программа-вымогатель стала причиной для головной боли специалистов по кибербезопасности по всему миру.

Считается, что за созданием программы-вымогателя Conti стоит российская группировка TrickBot. Если упростить, суть работы программы-вымогателя сводится к полной блокировке файлов на компьютере до тех пор, пока жертва не заплатит. Это большой бизнес — только за первое полугодие 2021 года американские компании заплатили хакерам более $600 млн, чтобы вернуть доступ к своим системам.

Группировка действовала вплоть до начала полномасштабной войны, активно атакуя больницы в США и Европе, блокируя их работу и вымогая у них деньги. По данным аналитической компании Chainalysis, хакерам из TrickBot и ее филиалов удалось заработать около $70 млн в 2020 году, более $200 млн в 2021 году, а за период до начала марта 2022 года группировка забрала у своих жертв $13,5 млн.

Сразу после начала полномасштабного вторжения украинец, который, скорее всего, был частью группировки и не разделял радости своих коллег из-за нападения на Украину, слил в сеть исходный код программы-вымогателя Conti, а также переписку хакеров.

Уже тогда, по данным аналитиков AdvIntel, время TrickBot было на исходе. Слив базы данных TrickBot окончательно добил группировку, и в итоге она развалились, а большая часть хакеров перешла в Conti, которая в свое время была чем-то вроде филиала или партнера TrickBot.

Аналитики называли Conti главным киберсиндикатом РФ. Фактически, это единственная большая хакерская группировка, которая оставалась в России по состоянию на февраль 2022. Остальные группировки или потеряли финансирование или банально не смогли взломать достаточно сетей, чтобы заработать деньги и выжить.

Не последнюю роль в этом сыграли связи с ФСБ и Кремлем: по мнению аналитиков, силовики не мешали хакерам работать, несмотря на многочисленные призывы Запада арестовать злоумышленников. В обмен на это они могли заказывать у них разведданные и секретные сведения, которые Conti воровала у своих жертв и передавала своим кураторам.

Полномасштабная война

25 февраля, через день после начала полномасштабного вторжения, группировка Conti выразила «полную поддержку» действиям кремлевского режима.

Хакеры из TrickBot освоились в Conti достаточно быстро и уже во время полномасштабного вторжения РФ в Украину они активно атаковали украинские ресурсы.

Исследователи из IBM Security X-Force назвали это «беспрецедентным сдвигом», поскольку раньше целью группировки Conti никогда не были объекты в Украине — вероятнее всего потому, что до 24 февраля в состав группировки входили в том числе украинцы. Более того, большая часть вредоносных программ, используемых Conti, были настроены так, чтобы не запускаться в системах, в которых обнаружен украинский язык.

Согласно отчету группы анализа угроз (TAG, Threat Analysis Group) Google, начиная с апреля и до середины июня группировка, которой CERT-UA присвоила кодовое имя UAC-0098, провела сразу несколько кибератак. Хакеры рассылали письма с требованием открыть зловредный файл с привлекающим внимание названием («Военные на Азовстали.xls», «Наложение штрафных санкций.docx», «Мобилизационный регистр.xls»). Каждый из этих файлов загружал и запускал зловредную программу — Cobalt Strike Beacon, Meterpreter, AnchorMail или IcedID, которые, среди прочего, похищает аутентификационные данные.

Российские хакеры рассылали свои письма от имени Киберполиции, Starlink, Microsoft, Государственной налоговой службы Украины и даже индийской гостинницы. Анализ исследователей TAG показал, что «некоторые члены UAC-0098 являются бывшими членами группировки Conti, которые сместили фокус своей работы на украинские цели».

Представители CERT-UA в комментариях для НВ подтвердили эту информацию и рассказали, что одна из кампаний UAC-0098 называлась «ZOV», что недвусмысленно намекает на заказчика кибератак. По поводу группировки Conti, специалисты CERT-UA отмечают, что вскоре после начала полномасштабной войны группировка расформировалась.

По некоторой информации, хакеры разбрелись по другим, более мелким группировкам.

Эти атаки доказывают, что последние месяцы своего существования, группа не действовала на свое усмотрение. Однако, скорее всего, связи с ФСБ там возникли намного раньше — в слитых чатах нашлись сообщения, отправленные в апреле 2021 года, в которых группа обсуждала взлом организаций, которые «работают против Российской Федерации», а хакеры называют себя «патриотами».

С подобным заявлением в первые дни полномасштабной войны выступил также журналист Bellingcat Христо Грозев, показав скриншоты сообщений, в которых хакеры обсуждают похищение файлов, связанных с отравлением Алексея Навального.

Кроме того, в переписке нашли сообщения от пользователя под ником Stern, который считается одним из лидеров группировки. В них он признавался, что у Conti есть «внешний» инвестор, хотя и не вдается детали, кто это и зачем некто дает деньги хакерам.

По словам аналитиков, деятельность UAC-0098 и группировки Conti — это прекрасный пример того, как стирается граница между хакерскими атаками с целью вымогательства и военной поддержкой российского правительства, отмечают аналитики. И быстрая кончина главной российской хакерской группировки становится еще одним доказательством того, что мир долгое время переоценивал возможности России.

Слушайте подкаст на эту тему

Стоит отметить, что программа-вымогатель Conti теперь работает еще и против россиян. Благодарить за это стоит хакеров из группировки Network Battalion 65' (NB65), которые модифицировали слитый код Conti, а затем использовала его для взлома и блокировки файлов внутри российских компаний.

«Мы решили, что лучше всего ударить Россию ее же оружием. Conti годами использовалась против школ, больниц, университетов и компаний по всему миру. Мы будем использовать этот код против любой российской компании, на которую мы попадем. Это наш способ сказать российским хакерам — от*****есь!» — рассказывал в комментариях НВ представитель NB65.

Эксперты отмечают, что до 24 февраля в русскоязычном хакерском сообществе был негласный договор не нападать на цели на территории стран бывшего СССР. 2022 год и война в Украине кардинально изменили эту ситуацию — и если украинские хакеры поспешили приступить к защите интересов своего государства, то россияне открыто поддержали убийства мирного населения.

«Сегодня кибератаки — это полноценная составляющая войны России против Украины. Благодаря эффективной координации и привлечению всех субъектов кибербезопасности мы смогли не просто противостоять агрессору, но и стать успешным примером для всего мира… Главная цель сейчас — сохранить эту целостность и продолжать системно подходить к процессу обеспечения кибербезопасности в Украине», — рассказывает руководитель службы по вопросам информационной и кибербезопасности аппарата СНБО Украины — секретарь Национального координационного центра кибербезопасности Наталья Ткачук.