NV Преміум

Як головне хакерське угруповання Росії Conti намагалося зламати Україну і що відомо про їхні зв’язки з Кремлем

IT-індустрія

14 вересня 2022, 06:25

Російські хакери одного з найвідоміших угруповань Conti під час повномасштабної війни дедалі активніше атакують цілі в Україні, хоча раніше вони ніколи не діяли проти українських систем. Дослідники впевнені, що за цією зміною орієнтирів стоїть Кремль.

Повномасштабне вторгнення Росії в Україну супроводжується атаками хакерів — всього за пів року CERT-UA зареєструвала 1123 кібератаки проти українських ресурсів.

Найчастіше цілями атак були уряд та місцеві органи влади, банки, органи сектору безпеки та оборони, підприємства енергетичного сектору, транспортної галузі та телекому. Росіяни активно атакують всю інфраструктуру, від якої залежить життєзабезпечення населення.

Російські хакери вже давно набули слави одних із найсильніших у світі, проте війна в Україні розвіяла цей міф.

Більшість атак російських хакерів є досить простими, фішинговими атаками, під час яких зловмисник намагається виманити конфіденційну інформацію, створюючи підроблений сайт та залучаючи відвідувачів.

Повномасштабна війна вимагає від Кремля активізації всіх можливих ресурсів. А тому там не нехтують будь-якою допомогою. Так, починаючи з 24 лютого, проти України активно працювала головна кіберзброя росіян — хакерське угруповання Conti.

Передплатіть NV Преміум та читайте без обмежень

Нам необхідна ваша підтримка, щоб займатися якісною журналістикою

Перший місяць 1 ₴. Відмовитися від передплати можна у будь-який момент

Знайомтесь, Conti

Окрім хакерів, які працюють безпосередньо на Кремль, Росія давно є «домом» для численних хакерських груп, що діють з її території. Однією з найвідоміших вважається угруповання Conti, а однойменна програма-вимагач стала причиною головного болю фахівців з кібербезпеки по всьому світу.

Вважається, що за створенням програми-здирника Conti стоїть російське угруповання TrickBot. Якщо стисло, суть роботи програми- здирника зводиться до цілковитого блокування файлів на комп’ютері доти, доки жертва не заплатить. Це великий бізнес — лише за перше півріччя 2021 року американські компанії заплатили хакерам понад $600 млн, щоб повернути доступ до своїх систем.

Угруповання діяло аж до початку повномасштабної війни, активно атакуючи лікарні в США та Європі, блокуючи їхню роботу та вимагаючи у них гроші. За даними аналітичної компанії Chainalysis, хакерам із TrickBot та її філій вдалося заробити приблизно $70 млн у 2020 році, понад $200 млн — у 2021 році, а за період до початку березня 2022 року угруповання поцупило у своїх жертв $13,5 млн.

Відразу після початку повномасштабного вторгнення українець, який, найімовірніше, був частиною угруповання і не поділяв радощі своїх колег через напад на Україну, злив у мережу вихідний код програми-здирника Conti, а також листування хакерів.

Уже тоді, за даними аналітиків AdvIntel, час TrickBot закінчувався. Злив бази даних TrickBot остаточно добив угруповання, і в результаті воно розвалилося, а більшість хакерів перейшла в Conti, яка свого часу була чимось на кшталт філії або партнера TrickBot.

Аналітики називали Conti головним кіберсиндикатом РФ. Фактично це єдине велике хакерське угруповання, яке лишалося в Росії станом на лютий 2022 року. Інші угруповання або втратили фінансування або банально не змогли зламати достатньо мереж, щоб заробити гроші та вижити.

Не останню роль у цьому відіграли зв’язки із ФСБ та Кремлем: на думку аналітиків, силовики не заважали хакерам працювати, попри численні заклики Заходу заарештувати зловмисників. В обмін на це вони могли замовляти у них розвіддані та секретні відомості, які Conti викрадала у своїх жертв та передавала своїм кураторам.

Повномасштабна війна

25 лютого, через день після початку повномасштабного вторгнення, угруповання Conti висловило «повну підтримку» діям кремлівського режиму.

Хакери з TrickBot освоїлися в Conti досить швидко і вже під час повномасштабного вторгнення РФ в Україну вони активно атакували українські ресурси.

Дослідники з IBM Security X-Force назвали це «безпрецедентним зрушенням», оскільки раніше метою угруповання Conti ніколи не були об'єкти в Україні — найімовірніше, через те, що до 24 лютого до складу угруповання входили українці. До того ж більшість шкідливих програм, що використовуються Conti, були налаштовані у такий спосіб, щоб не запускатися в системах, у яких виявлено українську мову.

Відповідно до звіту групи аналізу загроз (TAG, Threat Analysis Group) Google, починаючи з квітня і до середини червня угруповання, якому CERT-UA надало кодове ім'я UAC-0098, здійснило відразу кілька кібератак. Хакери надсилали листи з вимогою відкрити шкідливий файл з назвою, що привертає увагу («Військові на Азовсталі.xls», «Накладення штрафних санкцій.docx», «Мобілізаційний реєстр.xls»). Кожен із цих файлів завантажував і запускав шкідливу програму — Cobalt Strike Beacon, Meterpreter, AnchorMail або IcedID, які, серед іншого, викрадали автентифікаційні дані.

Російські хакери надсилали свої листи від імені кіберполіції, Starlink, Microsoft, Державної податкової служби України та навіть індійського готелю. Аналіз дослідників TAG показав, що «деякі члени UAC-0098 є колишніми членами угруповання Conti, які змістили фокус своєї роботи на українські цілі».

Представники CERT-UA у коментарях для НВ підтвердили цю інформацію та розповіли, що одна з кампаній UAC-0098 називалася «ZOV», що недвозначно натякає на замовника кібератак. Щодо угруповання Conti фахівці CERT-UA зазначають, що незабаром після початку повномасштабної війни угруповання розформувалося.

За деякою інформацією, хакери долучилися до інших, більш дрібних угруповань.

Ці атаки доводять, що останні місяці свого існування група не діяла на свій розсуд. Однак, найімовірніше, зв’язки з ФСБ там виникли набагато раніше — у злитих чатах віднайшлися повідомлення, надіслані у квітні 2021 року, в яких група обговорювала зламування організацій, які «працюють проти РФ», а хакери називають себе «патріотами».

З подібною заявою в перші дні повномасштабної війни виступив також журналіст Bellingcat Христо Грозєв, показавши скріншоти повідомлень, у яких хакери обговорюють викрадення файлів, пов’язаних із отруєнням Олексія Навального.

Крім того, у листуванні знайшли повідомлення від користувача під ніком Stern, який вважається одним із лідерів угруповання. У них він зізнавався, що у Conti є «зовнішній» інвестор, хоча і не вдається в деталі, хто це і навіщо хтось надає гроші хакерам.

За словами аналітиків, діяльність UAC-0098 та угруповання Conti — це чудовий приклад того, як стирається межа між хакерськими атаками з метою вимагання та військовою підтримкою російського уряду, зазначають аналітики. І швидка смерть головного російського хакерського угруповання стає ще одним доказом того, що світ тривалий час переоцінював можливості Росії.

Слухайте подкаст на цю тему

Варто зазначити, що програма-здирник Conti тепер працює ще й проти росіян. Дякувати за це варто хакерам із угруповання Network Battalion 65' (NB65), які модифікували злитий код Conti, а потім використовувала його для зламу та блокування файлів усередині російських компаній.

«Ми вирішили, що найкраще вдарити Росію її ж зброєю. Conti роками використовувалася проти шкіл, лікарень, університетів та компаній у всьому світі. Ми використовуватимемо цей код проти будь-якої російської компанії, на яку ми натрапимо. Це наш спосіб сказати російським хакерам — від****ться!» — розповідав у коментарях НВ представник NB65.

Експерти наголошують, що до 24 лютого у російськомовній хакерській спільноті був негласний договір не нападати на цілі на території країн колишнього СРСР. 2022 рік і війна в Україні кардинально змінили цю ситуацію — і якщо українські хакери поквапилися розпочати захист інтересів своєї держави, то росіяни відкрито підтримали вбивства мирного населення.

«Сьогодні кібератаки — це повноцінна складова війни Росії проти України. Завдяки ефективній координації та залученню всіх суб'єктів кібербезпеки ми змогли не просто протистояти агресору, а й стати успішним взірцем для всього світу… Головна мета зараз — зберегти цю цілісність та продовжувати системно долучатися до процесу забезпечення кібербезпеки в Україні», — розповідає керівниця служби з питань інформаційної та кібербезпеки апарату РНБО України — секретарка Національного координаційного центру кібербезпеки Наталія Ткачук.

Інші новини

Всі новини