Як один український ІТ-спеціаліст викрив потужну російську кібер-банду Conti

щось лопнуло в Данила 25 лютого 2022 року, коли оперативники Конті опублікували заяву, в якій пообіцяли «повну підтримку» російського уряду під час нападу на Україну

Коли російська артилерія почала сипати снарядами на його батьківщину, один український комп’ютерний дослідник вирішив дати відсіч найкращим способом, який він знав – саботувавши одне з найбільш загрозливих російських кібер-угруповань. Цей синдикат Conti розшукують ФБРівці за збитки на сотні мільйонів доларів.

Уже через чотири дні після російського вторгнення дослідник почав публікувати найбільший в історії витік файлів і даних Conti. Тисячі внутрішніх документів і повідомлень містять докази, які, здається, свідчать, що оперативники Конті мають контакти з російським урядом, включаючи розвідку ФСБ. Це підтверджує давнє звинувачення США у змові Москви з кіберзлочинцями заради отримання стратегічної переваги.

Український комп’ютерний фахівець, який стоїть за витоком, ексклюзивно розповів CNN про свою мотивацію помститися після того, як група Conti опублікувала заяву на підтримку російського уряду відразу після вторгнення в Україну. Він також розповів про свої відчайдушні спроби розшукати близьких в Україні останніми тижнями.

Щоб захистити його особу, CNN називає айтішника під псевдонімом: Данило.

«Я не можу стріляти, але можу битися за допомогою клавіатури та миші», – сказав Данило.

Опубліковані Данилом наприкінці лютого дані, ілюструють, чому кібербезпека була такою важкою проблемою у відносинах США та Росії. Оприлюднена ним інформація включає криптовалютні рахунки, які хакери Conti використовували для  отримання мільйонів доларів викупу, їхні обговорення того, як вимагати гроші у американських компаній, і їхню мішеннь – журналіста, який розслідує отруєння критика Кремля Олексія Навального.

Але це також показує, наскільки важко припинити діяльність таких кібер-банд. Незважаючи на те, що Данило розкриває їхню діяльність, хакери продовжують оголошувати про нові жертви.

«Засвітивши» таку групу, як Конті, Данило привернув більше уваги до себе інших. ФБР, сказав Данило, зв’язалося з ним після того, як він почав розкривати файли Конті, попросивши припинити оприлюдення даних.

CNN підтвердив твердження Данила про те, що саме він публікував дані завдяки доказав власності облікового запису Twitter, який публікував дані Conti, а також до веб-сайту, на якому Данило та його товариш дублювали інформацію.

«Це моя країна, — сказав він у телефонному інтерв’ю. – Якщо вони [український уряд] нададуть мені зброю, добре, я піду воювати. Але я краще друкую».

Цифрова відплата

Данило стверджує, що вперше отримав доступ до комп’ютерних систем, які використовувалися в синдикаті Conti у 2016 році. Хоча він відмовився детально пояснити, як це вдалося, незалежні експерти з безпеки підтвердили, що набір даних належить хакерам.

«Іноді вони роблять помилки, – сказав Данило, маючи на увазі групи програм-вимагачів. – Ви повинні ловити їх, коли вони роблять помилку. Я просто був у потрібному місці в потрібний час. Я спостерігав за ними».

Протягом багатьох років, за словами Данила, він тихо ховався на комп’ютерних серверах хакерів і передавав інформацію про діяльність групи європейським правоохоронцям.

Програми-вимагачі Conti були поширені протягом останніх двох років, і хакери забирали численні жертви щотижня. У вересні 2020 року хакери заявили, що викрали матеріали справи з окружного суду в Луїзіані. У березні 2021 року програму-вимагач Conti використали для злому ірландської системи охорони здоров’я вартістю 25 мільярдів доларів, порушивши роботу пологового відділення в Дубліні.

За даними Elliptic, фірми, яка відстежує транзакції з криптовалютою, ця темна робота була прибутковою. Хакери, які використовували програмне забезпечення-викуп Conti, отримали щонайменше 25,5 мільйонів доларів у вигляді викупу лише за чотири місяці 2021 року.

Але щось лопнуло в Данила 25 лютого 2022 року, коли оперативники Конті опублікували заяву, в якій пообіцяли «повну підтримку» російського уряду під час нападу на Україну.

Російський авіаудар стався неподалік від будинку члена сім’ї. Дослідник кібербезпеки виріс в Україні, коли вона була частиною Радянського Союзу. Він не хотів, щоб він знову потрапив у руки росіян.

Члени «Конті» намагалися повернути свою заяву назад, стверджуючи, що не підтримують жодного уряду, але Данило почув достатньо.

На повторне запитання, чому він опублікував дані Conti, Данило, сміючись, відповів: «Щоб довести, що вони лохи».

ФБР зацікавилося українським айтішником

Після того, як Данило почав розкривати дані Conti з ним зв’язався спецагент ФБР і попросив припинити. Викриття інфраструктури Conti теоретично може ускладнити ФБР відстеження групи, оскільки банда може створити нові комп’ютерні системи.

Данило поки що перестав публікувати адні. Але він каже, що все ще має доступ до деяких комп’ютерних систем Conti.

Представник правоохоронних органів, який спілкувався з CNN, вважає за краще, щоб Данило зберігав цей прихований доступ, а не сповіщав синдикат про свою присутність шляхом витоку даних.

«Публічне оприлюднення інформації, як це зробив [витік], є нерозсудливим, — сказав CNN представник правоохоронних органів США. – Співпраця з правоохоронними органами може досягти більш істотного та довготривалого ефекту у зриві діяльності таких груп, як Conti».

Але Джон Фоккер, колишній слідчий з кіберзлочинності з голландської поліції, сказав, що витік інформації може бути корисним для поліцейських, які переслідують кібер-шахраїв.

«Так, інфраструктура може бути засвічена. Однак кількість даних, наданих у витоках, дає мені впевненість, що правоохоронні органи отримали інформацію, необхідну для складання звинувачень щодо ключових осіб”, – сказав Фоккер.

Каталог проступків

Витоки Conti – це вражаючий каталог імовірних злочинів багатомільйонного злочинного підприємства.

Члени Conti, кожен з яких використовує псевдоніми, обговорюють мудрість вимагання у малого бізнесу США, утримуючись від злому російських цілей. Вони також цікавляться журналістом, який пише про Навального, російського опозиціонера.

У квітні 2021 року члени Conti «mango» та «johnyboy77» обговорювали плани отримати доступ до файлів, що належать журналісту розслідувального видання Bellingcat. Видання опублікувало спільне розслідування з CNN у грудні 2020 року про нібито роль російської розвідки ФСБ у розслідуванні отруєння Навального.

Христо Грозев, провідний слідчий Bellingcat, написав у Твіттері, що витік чату підтверджує анонімну підказку, яку отримав Bellingcat, про те, що «глобальна кіберзлочинна група, яка діяла за наказом ФСБ, зламала одного з ваших співавторів».

За словами Кімберлі Гуді, директора відділу аналізу кіберзлочинності в охоронній фірмі Mandiant, оперативники Conti посилаються у своїх чатах на Літейний проспект у Санкт-Петербурзі, де є місцеві офіси ФСБ.

«Взагалі кажучи, було б відносно несподівано дізнатися, що така масштабна операція не буде якимось чином використовуватися як актив [російським урядом] у певний момент часу», — сказала Гуді CNN.

Це моя робота

Кібератаки відіграли допоміжну роль у війні в Україні. Білий дім звинуватив російську військову розвідку ГРУ у виведенні з мережі ключових веб-сайтів українського уряду перед вторгненням. Кремль заперечує звинувачення.

Американські чиновники також розслідують злом супутникової мережі, що обслуговує частини України, який стався на початку російського вторгнення.

Зі свого боку, український уряд заохочує «ІТ-армію» хакерів-добровольців в Україні та за кордоном до кібератак на російські організації.

У вільному для всіх українському кіберпросторі такі бойовики, як Данило, беруть участь на власних умовах.

На запитання, як він себе почуває в останні дні, Данило відповідає однозначно: «Ще живий».

Данило згадував, як у перші дні війни він зайшов у бункер під час бомбардування зі своїм ноутбуком і працював над файлами Conti. Іншу людину в бункері збентежило, що під час обстрілу він був зосереджений на своєму комп’ютері і вона запитала, що Данило робить.

«Це моя робота, – сказав він CNN. «[Я роблю це], тому що можу».

За матеріалами: CNN

НАПИСАТИ ВІДПОВІДЬ

Коментуйте, будь-ласка!
Будь ласка введіть ваше ім'я