網絡安全
近期俄烏戰事,兩地之間關係緊張,兩國民間關係決裂,間接導致黑客組織文件外泄,俄羅斯黑客犯罪組織Conti活動曝光。
外間甚至以「勒索集團巴拿馬文件」形容今次的洩密事件,幾乎所有網絡保安公司,均詳細分析報導,並印證了內容的真實性。
今次事件所以成為新聞,因Conti勒索集團來頭不少,不單營運「勒索軟件即服務」(RaaS)業務,也出售惡意程式作攻擊用途,針對企業發動零日攻擊,也盗取敏感數據或醫學機密,涉及多次勒索和殭屍網絡(Botnet)。
最近美國聯邦調查局(FBI)及美國網路資訊安全局(CISA)發出有關Conti勒索軟件警告超過了400次,可見其活躍程度。不少人一直以為,Conti總部位於俄羅斯,甚至與俄國政府或情報機關有關聯,從不攻擊俄羅斯對象,傳言始終無從證實。
Conti轉趨活躍
Conti主要攻擊對象為北美和西歐企業,約三分之一位於歐洲及英國;針對零售、建築、公共事業發動勒索攻擊,英國時裝零售品牌Fat Face和美國個人文具店Shutterfly、愛爾蘭醫療和急救服務都曾受害,最近攻擊關鍵基礎設施;2月份癱瘓比利時為基地港口集團SEA-Invest,影響歐洲及非洲多達24個港口運作。
不過,Conti成員發表支持俄羅斯政府言論,卻惹下大禍。今年2月底,一個以vx-underground為代號Twitter賬戶,指稱Conti成員Contileaks,以Twitter賬戶外洩了Conti從2020年6月至2022年2月份內部對話、服務器資料和位址、令外間首次窺見東歐黑客和Conti之間,千絲萬縷關係,亦佐證了Conti營運地,的確位於俄羅斯,很可能是俄國第二大城市聖彼得堡,正有意進軍加密貨幣行業和暗網社交媒體等業務。
https://twitter.com/contileaks
俄黑客諱莫如深
Contileaks聲稱反對Conti支持俄羅斯入侵烏克蘭;洩密文件後加上「願榮耀歸於烏克蘭」口號,估計洩密者可能屬於Conti內的烏克蘭人。以往,不少黑客活躍於東歐,俄烏爆發戰事後,黑客集團內訌分裂,部分加入了烏克蘭政府發起的「IT志願軍」。不過contileaks否認屬於Conti,只自稱為「保安研究人員」,如何取得Conti內幕,則耐人尋味。
contileaks陸續披露Conti與TrickBot和Emotet等黑客集團關係,甚至包括了TrickBot的源碼和Emotet服務器登入訊息和儲存位置。
Conti洩密文件討論內,也提供另一黑客組織Cozy Bear,外間亦稱之為Advanced Persistent Threat 29(APT29),曾經攻擊美國、加拿大、英國的大學及研究機構,試圖盗取疫苗研究結果;Conti高層似乎與俄羅斯當局有聯擊,披露如何支援俄羅斯政府,有黑客自稱「愛國者」,討論針對反俄羅斯聯邦異見人士發展攻擊,暗示與當地執法機構有關,例如Conti有意針對專門揭發俄國負面新聞,總部設於荷蘭的調查網站Bellingcat。
Sophos證實內容
Bellingcat多次刊登俄羅斯在烏克蘭和敘利亞軍事行動、克里姆林宮攻擊如何國內外反對派,包括俄羅斯情報部門下毒暗殺反對派領袖納瓦尼(Alexei Navalny),Conti也試圖入侵Bellingcat贊助人。
對話內容亦可見Conti試圖假裝測試保安產品,以虛構公司DocSoft購買Sophos和Blackcarbon終端防禦軟件授權,探索惡意程式如何避開偵察。Sophos亦於網站證實了上述交易,指DocSoft註冊地址位於烏克蘭的基輔市,引起了Sophos懷疑,於是要求與買家視像對話才交易,結果DocSoft主動放棄採購。
上述洩密文件的最大價值,還是披露Conti內部運作,以至招聘和勒索流程。Conti公司有多重架構,管理、財務及人力資源運作清晰,具備招聘及開除合約員工,以至賞罸員工的制度。
運作規模有板有眼
Check Point Research(CPR)發表了研究報告,指Conti招募不限於地下渠道,還經合法途徑,甚至未經許可從招聘公司履歷庫,「借閱」求職者的履歷文件。Conti一些員工也不知正參與網絡犯罪活動。
Conti組織包括了人力資源、程式開發、測試人員、加密人員、系統管理員、反向工程師、攻擊團隊、OSINT 專家及談判人員,擁有多個實體辦公室。Conti 談判團隊成員(包括 OSINT 專家)佣金是按所獲贖金中抽取0.5% 到 1% 不等比例。程式開發和部分管理人員薪酬,均以比特幣支付,每月轉帳一至兩次。
招聘方面,Conti人力資源部招聘渠道以俄語招聘平台為主,包括headhunter.ru。此外亦使用superjobs.ru 等其他網站,不過Conti 繞過headhunter.ru招聘系統,直接從履歷庫中取得求職者履歷,並以電郵聯繫。部分員工甚至不知道他們參與了網絡犯罪活動。
contileaks報稱仍身處於烏克蘭境內,Twitter上不斷控訴俄軍戰火蹂躪,幾乎每天均有新內幕釋出。經此一役,東歐黑客集團,相信亦元氣大傷。