Eksperci Check Point Research przeprowadzili szczegółową analizę opublikowanych niedawno przecieków, które ukazują Conti jako wysoce zorganizowaną grupę, w żaden sposób nie spełniającą popularnych wyobrażeń o „romantycznych hakerach”.

Na początku roku rosyjskie służby (FSB) zlikwidowały organizację cyberprzestępczą REvil, będącą czołową grupą odpowiadającą za ataki ransomware. Jednym z najważniejszych z nich, była kampania skierowana przeciwko Kaseya, twórcy rozwiązań IT. Grupa stała również za potężnym atakiem na dostawcę żywności JBS, który za odszyfrowanie swoich systemów zapłacił około 11 mln dolarów w bitcoinach. Jak informowali Rosjanie, podczas nalotu skonfiskowano sprzęt komputerowy, portfele kryptowalutowe oraz 426 mln rubli, 600 tys. dolarów i pół miliona Euro. Co więcej, przejęto również 20 luksusowych samochodów, które kupione zostały z pieniędzy pochodzących z działań przestępczych. Akcja przeprowadzona została na wniosek i we współpracy z amerykańskimi organami.

Po głośnej akcji służb niektórzy doszli do wniosku, że być może Rosja w końcu rozprawi się z nieustającymi atakami hakerskimi pochodzącymi z jej terytoriów, które wymierzone były w zachodnie korporacje, instytucje edukacyjne i badawcze czy szpitale. Dziś wiemy, że nadzieje te były naiwne, a druga z potężnych organizacji cyberprzestępczych – Conti - zdecydowała się stanąć ramię w ramię z rosyjską armią, organizując wojnę cyfrową.

Firma Check Point Research dotarła do nowych szczegółów dotyczące wewnętrznych operacji grupy Conti, tworzącej oprogramowanie ransomware dystrybuowane jako usługa (RaaS). Taki model umożliwia uzyskanie płatnego dostępu do infrastruktury w celu przeprowadzania ataków cybernetycznych, bez inwestowania we własne rozwiązania programistyczne. Zdaniem ekspertów branżowych Conti ma siedzibę w Rosji i może mieć powiązania z rosyjskim wywiadem. Na przestrzeni ostatnich dwóch lat Conti zostało oskarżone o ataki ransomware wymierzone w dziesiątki firm, w tym giganta odzieżowego Fat Face oraz Shutterfly, a także infrastrukturę krytyczną, taką jak irlandzka służba zdrowia i inne sieci pierwszego reagowania.

27 lutego, za sprawą domniemanego informatora - który twierdził, że sprzeciwił się wsparciu grupy dla rosyjskiej inwazji na Ukrainę - wyciekła pamięć podręczna z logami czatów należących do Conti. Analiza plików dowiodła, że grupa ransomware działa niczym duża firma technologiczna. Conti ma dział HR, proces rekrutacji, biura stacjonarne, wynagrodzenia oraz premie…

Co więcej Conti posiada zdefiniowaną oraz hierarchiczną strukturę z team-leaderami, którzy raportują swoje poczynania do menedżerów wyższego szczebla. W grupie zatrudnieni są koderzy, testerzy, eksperci ds. kryptografii, administratorzy systemów czy specjaliści ds. wstecznej inżynierii. Conti posiada również specjalistów ds. białego wywiadu oraz własnych negocjatorów.

Analitycy Check Point Research, na podstawie zapisanych rozmów, byli w stanie zidentyfikować część pracowników. I tak: “Stern” to najprawdopodobniej główny szef grupy, “Bentley” jest liderem działu technicznego, “Buza” to menedżer techniczny, “Target” odpowiada za zarządzanie koderami i produktami grupy, natomiast “Veron” (aka Mors) odpowiada za operacje przeprowadzane z użyciem botnetu Emotet.

Wywiad cybernetyczny Check Pointa przekonany jest również o tym, że Conti posiada kilka fizycznych biur, które koordynuje Target - partner Sterna i skuteczny dyrektor operacyjny biura, który odpowiada również za fundusz płac, wyposażenie techniczne biura, proces rekrutacji oraz szkolenie personelu. W 2020 roku z biur korzystali głównie testerzy, zespoły ofensywne i negocjatorzy. W swojej korespondencji “Target” wymienia dwa biura przeznaczone dla operatorów, którzy kontaktują się bezpośrednio z przedstawicielami ofiar.

W sierpniu 2020 r. otwarto dodatkowe biuro dla administratorów i programistów, pod nadzorem “Profesora”, odpowiedzialnego za proces techniczny zabezpieczania infekcji ofiar.

Marchewka i kij, czyli pensje, prowizje oraz kary finansowe

Członkowie zespołu negocjacyjnego Conti (w tym specjaliści OSINT) otrzymują prowizje obliczane jako procent od wpłaconego okupu, które wahają się od 0,5% do 1%. Koderzy i niektórzy menedżerowie otrzymują pensję w bitcoinach, przekazywaną raz lub dwa razy w miesiącu.

Pracownicy Conti nie są chronieni przez lokalne rady pracy czy związki, więc muszą akceptować pewne praktyki, których nie doświadczają typowi pracownicy techniczni, takie jak kary grzywny za gorsze wyniki. Podczas gdy grzywny są najczęściej używane jako ustalone narzędzie w dziale koderów, są one również sporadycznie stosowane przez menedżerów innych działów – na przykład w IT i DevOps, w którym jedna z osób odpowiedzialnych za wpłacanie pieniędzy została ukarana grzywną w wysokości 100 dolarów za nieodebranie płatności.

Pełna anonimowość i poufność działań

Głównym zasobem zwykle wykorzystywanym przez dział HR Conti są rosyjskojęzyczne serwisy headhunterskie, takie jak headhunter.ru. Wiadomo również, że HR-owcy korzystali z innych witryn, takich jak superjobs.ru, ale podobno z mniejszym powodzeniem. Conti OPSec zabrania jednak pozostawiania śladów ofert pracy dla programistów na takich stronach internetowych.

Z tego powodu w przypadku zatrudniania programistów Conti omija system portalu headhunter.ru, a zamiast tego uzyskuje bezpośredni dostęp do puli CV i kontaktuje się z kandydatami przez e-mail. Dlaczego headhunter.ru oferował Conti taką usługę? Otóż nie robił tego. Grupa po prostu „pożyczała” CV bez jakiegokolwiek pozwolenia, co wydaje się być standardową praktyką w świecie cyberprzestępczości.

Co ciekawe, niektórzy pracownicy Conti nie zdają sobie sprawy z tego, że biorą udział w operacjach cyberprzestępczych. Podczas jednej z rozmów kwalifikacyjnych, menedżer przekazał kandydatowi informację, że w firmie “wszystko jest anonimowe”, a głównym kierunkiem jest tworzenie oprogramowania dla pentesterów (czyli tzw. etycznych hakerów, analizujących podatności). Innym przykładem jest członek grupy “Zulas”, który opracowywał backend Trickbota (trojan bankowy) w języku Erlang. Kiedy w rozmowie menedżer wspomina, że jego projekt dla “Tricka” (Trickbota), został zauważony przez połowę świata, “Zulas” nie ma pojęcia co stoi za tymi słowami. Nie wie również za co odpowiada tworzone przez niego oprogramowanie (otrzymuje za to odpowiedź, że pracuje nad backendem systemu analiz reklam) i dlaczego zespół dokłada wszelkich starań, aby chronić tożsamość członków.

- Po raz pierwszy uzyskaliśmy szeroki wgląd w grupę, która jest znana jako twarz oprogramowania ransomware. Conti działa jak firma high-tech. Widzimy setki pracowników zarządzanych przez menedżerów; pojawia się dział HR, z osobami odpowiedzialnymi za koordynację różnych działów. Co niepokojące, mamy dowody na to, że nie wszyscy pracownicy są w pełni świadomi, że należą do grupy cyberprzestępczej. Innymi słowy, Conti jest w stanie rekrutować specjalistów również z legalnych źródeł, a Ci są przekonani, że pracują dla agencji reklamowej, a nie grupy stojącej za ransomware. Jest już dla nas jasne, że Conti wypracowało wewnętrzną kulturę generowania zysków, a także nakładania kar na pracowników za niepożądane zachowania. Widzimy też, że grupa posiada fizyczne biura w Rosji – mówi Lotem Finkelsteen, szef działu wywiadu zagrożeń w Check Point Research.

“Firma” patrzy w przyszłość

Z uzyskanej korespondencji wynika, że Conti chce rozwijać swój biznes planując kolejne przedsięwzięcia. Wśród nich wymienia się giełdę kryptowalut oraz sieć społecznościową w darknecie. Giełda ma być stworzona we własnym ekosystemie grupy, natomiast medium społecznościowe ma być odpowiednikiem VK (rosyjska alternatywa Facebooka) dla darknetu lub Carbon Black dla hakerów. Pomysłodawcą projektów miał być “Stern”, a za ich realizację odpowiadał “Mango”. Oba przedsięwzięcia miały mieć charakter komercyjny. W lipcu 2021 roku Conti kontaktowało się z twórcą, który przygotował wstępne ich wizualizacje.

Czy ujawnienie powyższych informacji odprowadzi do zamknięcia Conti? Jest to wątpliwe. Conti jest “zbyt duży by upaść”. Wyjątkiem może być szeroko zakrojona akcja służb i liczne aresztowania członków grupy, na wzór tych przeprowadzonych względem REvil. Przeciek jest jednak cennym studium przypadku zorganizowanych grup hakerskich. Jeśli ktoś miał romantyczną wizję małej, pełnej pasji formacji, realizującej zaawansowane ataki na złe korporacje, powinien się z nią ostatecznie pożegnać. Nowoczesne, wyrafinowane zespoły hakerskie same organizują się na wzór korporacyjny, by osiągnąć jak najwyższą wydajność, a co za tym idzie - najwyższe zyski.