- Malware Conti vyvinula ruská skupina téže jména, která ve válce podpořila Rusy
- V reakci na to jeho zdrojový kód zveřejnil ukrajinský výzkumník
- Hackeři NB65 pracující na straně Ukrajiny kód upravili a použili proti Rusku
O aktivitách Anonymous a spřátelených hackerských organizacích během probíhající rusko-ukrajinské války jsme již před nějakou dobou psali. Od té doby ale došlo k několika dalším kyberútokům na ruské cíle, a především pak k osvětlení toho, jak proběhl jeden z nejvíce diskutovaných útoků na Roskosmos.
Po analýze souboru z útoku se ukázalo, že hackeři použili mimo jiné upravený ransomware Conti. Za tím přitom stojí stejnojmenná hackerská skupina, která otevřeně vyjádřila podporu Ruské federaci, a už delší dobu se spekuluje, že je napojena přímo na ruské vládní struktury. Dalo by se tak říct, že pro útoky na ruské cíle byla použita jejich vlastní zbraň.
Network Battalion 65
Hned první den ruské invaze na Ukrajinu vyhlásilo hnutí Anonymous elektronickou válku ruskému režimu. K Anonymous se připojily i různé další skupiny, mezi nimi i Network Battalion 65. Skupina vystupující pod zkratkou NB65 provedla v posledních týdnech řadu útoků na ruské instituce, a to včetně toho tolik diskutovaného na Roskosmos.
Když 1. března hackeři z NB65 oznámili prolomení ochrany Roskosmosu, mluvilo se zejména o tom, že dle svého tvrzení zabránili Rusům v přístupu k jejich špionážním satelitům a vypnuli jejich řídící systém. Šéf Roskosmosu to popřel s tím, že se hackeři dostali pouze k vývojovému prostředí. Jak to bylo doopravdy, není dosud jasné. Nedá se očekávat, že by Rusové úspěšný útok protivníka přiznali, na druhou stranu nic nenasvědčuje ani tomu, že by skutečně alespoň dočasně ztratili přístup ke svým satelitům.
Hackeři nicméně také získali řadu souborů a část jich nahráli na internet. Následná analýza vzorku z VirusTotal bezpečnostními experty odhalila, že zdrojový kód malwaru použitého NB65 se z 66 % shoduje s ransomwarem Conti. A tady to začíná být zajímavé.
Ruští gangsteři Conti
Ransomware Conti je produkt Conti Group, ruského gangu živícího se vydíráním společností a institucí. Tento ransomware stojí za řadou útoků prakticky po celém světě a v loňském roce se s odhadovaným ziskem 180 milionů dolarů (4 miliardy Kč) stal jednoznačně nejvýnosnějším ransomwarem. Má se zato, že software je prodáván zájemcům jako služba a gang Conti má poté z případného výkupného určitý podíl.
Delší dobu se spekulovalo o tom, že gang má určitou spojitost i s ruskou vládou, a to minimálně v tom smyslu, že jí je tolerován s vidinou toho, že se jeho služby mohou jednou hodit. Určitou nápovědou bylo třeba to, že skupina zapovídala použití svého ransomwaru v Rusku a program byl údajně i nastaven tak, aby se na počítačích s ruskou IP adresou neaktivoval. Podezření ještě zesílilo po začátku ruské invaze na Ukrajinu, kdy Conti Group deklarovala svou podporu ruskému režimu. Hackeři dokonce varovali před kyberútoky na ruské cíle s tím, že jinak udělají vše proto, aby zasáhli kritickou infrastrukturu Západu.
Když někdo hackne hackery
Vyjádření Conti Group ovšem rozezlilo ukrajinského bezpečnostního výzkumníka, který měl přístup k souborům ruského gangu. Ten tak zveřejnil nejprve přes 60 tisíc interních zpráv pokrývajících komunikaci od 21. ledna 2021 do dne zveřejnění, tedy 27. února 2022. Zprávy pomohly rozkrýt spoustu informací o gangu a lze očekávat, že je využijí i bezpečnostní složky, které po členech gangu celosvětově pátrají. Jejich autenticita byla potvrzena bezpečnostními firmami i novináři.
Zprávy mimo jiné prokázaly, že gang je velmi organizovaný a funguje jako instituce. Má placené programátory, vyjednavače o výkupném, kteří z něj mají podíl, personální oddělení i všemožné manuály a vnitřní pravidla. Členové například platí pokuty za nedodanou práci, žádají o dovolenou a podobně. Zaznamenána byla ale také třeba ostrá kritika jednoho z členů za použití ransomwaru proti nemocnici, což je údajně proti pravidlům gangu a poškozuje to jeho obraz. Za zmínku stojí také varování jednoho ze zřejmě vedoucích představitelů, aby se členové vyvarovali cest do zahraničí, neboť mohou být zatčeni. V komunikaci lze narazit i na zmínky o ulici, v níž v Petrohradě (kde většina členů zřejmě žije) sídlí FSB.
source conti v3. https://t.co/1dcvWYpsp7
— conti leaks (@ContiLeaks) March 20, 2022
Pryč ale od zpráv. Ukrajinský expert se nespokojil se zveřejněním komunikace a krátce poté na Twitteru zveřejnil i zdrojový kód ransomwaru Conti nahraný na službu VirusTotal. Nejprve šlo o starou verzi ze září 2020. Později však publikoval i novější z konce ledna 2021. Tím jednak udělal radost bezpečnostním výzkumníkům, ale zřejmě se tak ke kódu dostala i „naše“ hackerská skupina NB65. Ta si ho upravila k obrazu svému a od konce března ho používá k útokům na ruské instituce a společnosti.
Vlastní medicína
Upravený ransomware má proti původnímu Conti několik změn. Nejviditelnějším je asi to, že zašifrované soubory mají příponu NB65. Podstatnější je ale to, že upravili šifrovací mechanismus tak, aby na něj nefungovaly klíče, které by mohla obětem poskytnout Conti Group. Dle vyjádření zástupců NB65 je navíc ransomware upraven na míru každé jejich oběti.
Změněna byla také deklarace v souboru R3ADM3.txt, který program vygeneruje. Místo původního obsahu se tak v textovém souboru oběti dočtou kromě instrukcí, jak kontaktovat NB65 s žádostí o dešifrování, také to, že za zašifrování mohou poděkovat skupině Conti a že nebýt válečných zločinů páchaných Vladimirem Putinem, nezaměřila by se pozornost NB65 právě na ně.
Ve vyjádření poskytnutém webu BleepingComputer pak zástupce NB65 ještě upřesnil, že po masakru v Buči se skupina rozhodla útočit i na společnosti v soukromém vlastnictví, které mohou mít dopad na fungování Ruska. Podpora ruských válečných zločinů je prý v ruské společnosti vysoká a skupina tak s útoky nepřestane do té doby, dokud Rusko neukončí svou agresi. Společnosti mimo Rusko se prý útoků z její strany obávat nemusí, soustředí se čistě na ruský trh. V jiném vyjádření NB65 také uvedli, že případné zisky z výkupného budou v plné výši darovány sbírkám na podporu Ukrajiny.
Rusko pod kyberútokem
Na Rusko od začátku jeho invaze cílí řada kyberútoků. Jen skupina NB65 má za sebou např. zmiňovaný útok na Roskosmos, televizní a rádiovou skupinu VGTRK, cestovní kancelář Continent Express a vědecké centrum Ufa Ruské akademie věd. Zasažena byla i plynárenská společnost Gazregion.
SSK Gazregion LLC is going to have a rough Sunday.
We suggest you check your machines. They're struggling.
And what kind of chincy ass soviet connection are you guys using? You know how long it took us to exfil?!?
Fuck Vladimir Putin. Fuck the Russian Military. pic.twitter.com/BZDMPb0JxN
— NB65 (@xxNB65) April 3, 2022
Anonymous se pak přihlásili například ke zveřejnění osobních údajů 120 tisíc ruských vojáků nasazených na Ukrajině nebo k odcizení 35 tisíc souborů z ruské centrální banky. Na veřejnost se dostalo také 900 tisíc emailů zaměstnanců státních médií a přes 700 GB dat ruského ministerstva kultury, pod nějž spadá například cenzura a správa některých archivů. Zasažen byl i ruský antivirus Kaspersky, byť z něj se žádná citlivá data uživatelů na veřejnost nedostala. Spíše z říše pranků je pak hacknutí množství nezabezpečených tiskáren v Rusku, pomocí nichž Anonymous údajně vytiskli přes 100 tisíc stránek „anti-propagandy“.
As long as there is oppression, there will be action. More attacks will come.
With love, #Anonymous <3
Expect us. pic.twitter.com/ZPrQWYn7lc
— Anonymous (@LatestAnonPress) April 15, 2022
Posuzovat dopady jednotlivých útoků není vůbec jednoduché. Pokud nejde o něco tak zjevného, jako je zveřejnění komunikace, těžko se odhaduje, jaké škody útok v Rusku způsobil. Informovat o tom je totiž pro ruské občany vysoce rizikové. V zemi od začátku války dochází k čím dál tím většímu „utahování šroubů“ a například za „fake news“ o tzv. speciální operaci hrozí až 15 let vězení.
Nakolik jsou útoky „internetové armády“ na ruskou totalitu úspěšné, to tedy není úplně jasné. Jisté ale je, že z toho Rusové radost nemají. Po útoku na Roskosmos například vyhrožovali, že hackování satelitů považují za záminku k válce. Jako většina ruských výhružek však i tato zůstala nenaplněna.
