Когда российская артиллерия начала сыпать снарядами на его родину, один украинский компьютерный исследователь решил дать отпор наилучшим способом, который он знал – саботировав одну из наиболее угрожающих российских кибер-группировок. Этот синдикат Conti разыскивают ФБРовцы за ущерб на сотни миллионов долларов.
Уже через четыре дня после российского вторжения исследователь начал публиковать самую большую в истории утечку файлов и данных Conti. Тысячи внутренних документов и сообщений содержат доказательства, свидетельствующие, что оперативники Конти имеют контакты с российским правительством, включая разведку ФСБ. Это подтверждает давнее обвинение США в заговоре Москвы с киберпреступниками для получения стратегического преимущества.
Стоящий за утечкой украинский компьютерный специалист эксклюзивно рассказал CNN о своей мотивации отомстить после того, как группа Conti опубликовала заявление в поддержку российского правительства сразу после вторжения в Украину. Он также рассказал о своих отчаянных попытках разыскать близких в Украине в последние недели.
Чтобы защитить его, CNN называет айтишника под псевдонимом: Данило.
«Я не могу стрелять, но могу сражаться с помощью клавиатуры и мыши», – сказал Данило.
Опубликованные Данилом в конце февраля данные, иллюстрируют, почему кибербезопасность была столь трудной проблемой в отношениях США и России.Обнародованная им информация включает криптовалютные счета, которые хакеры Conti использовали для получения миллионов долларов выкупа, их обсуждение того, как требовать деньги у американских компаний, и их мишеней – журналиста, расследующего отравление критика Кремля Алексея Навального.
Но это также показывает, как трудно прекратить деятельность таких кибер-банд. Несмотря на то, что Даниил раскрывает их деятельность, хакеры продолжают объявлять о новых жертвах.
«Засветив» такую группу, как Конти, Данило привлек больше внимания к себе других. ФБР, сказал Данило, связалось с ним после того, как он стал раскрывать файлы Конти, попросив прекратить обнародование данных.
CNN подтвердил утверждение Даниила о том, что именно он публиковал данные благодаря доказательствам собственности аккаунта Twitter, который публиковал данные Conti, а также к веб-сайту, на котором Данило и его товарищ дублировали информацию.
«Это моя страна, – сказал он в телефонном интервью. — Если они [украинское правительство] предоставят мне оружие, хорошо, я пойду воевать. Но я лучше печатаю».
Цифровое возмездие
Данило утверждает, что впервые получил доступ к компьютерным системам, которые использовались в синдикате Conti в 2016 году. Хотя он отказался подробно объяснить, как это удалось, независимые эксперты по безопасности подтвердили, что набор данных принадлежит хакерам.
«Иногда они совершают ошибки, – сказал Данило, имея в виду группы программ-требователей. – Вы должны ловить их, когда они совершают ошибку. Я просто был в нужном месте в нужное время. Я наблюдал за ними.
На протяжении многих лет, по словам Данила, он скрывался на компьютерных серверах хакеров и передавал информацию о деятельности группы европейским правоохранителям.
Программы-вымогатели Conti были распространены за последние два года, и хакеры забирали многочисленные жертвы еженедельно. В сентябре 2020 года хакеры заявили, что похитили материалы дела из окружного суда в Луизиане. В марте 2021 года программу-требитель Conti использовали для взлома ирландской системы здравоохранения стоимостью 25 миллиардов долларов, нарушив работу родильного отделения в Дублине.
По данным Elliptic, фирмы, отслеживающей транзакции с криптовалютой, эта темная работа была прибыльной. Хакеры, использовавшие программное обеспечение-выкуп Conti, получили не менее 25,5 миллионов долларов в виде выкупа всего за четыре месяца 2021 года.
Но что-то лопнуло у Данила 25 февраля 2022, когда оперативники Конти опубликовали заявление, в котором пообещали «полную поддержку» российского правительства во время нападения на Украину.
Российский авиаудар произошел недалеко от дома члена семьи. Исследователь кибербезопасности вырос в Украине, когда она являлась частью Советского Союза.Он не хотел, чтобы он снова попал в руки россиян.
Члены Конти пытались вернуть свое заявление назад, утверждая, что не поддерживают ни одного правительства, но Даниил услышал достаточно.
На вопрос, почему он опубликовал данные Conti, Даниил, смеясь, ответил: «Чтобы доказать, что они лохи».
ФБР заинтересовалось украинским айтишником
После того, как Даниил начал раскрывать данные Conti, с ним связался спецагент ФБР и попросил прекратить. Разоблачение инфраструктуры Conti теоретически может осложнить ФБР отслеживания группы, поскольку банда может создать новые компьютерные системы.
Данило пока перестал публиковать одни. Но он говорит, что все еще имеет доступ к некоторым компьютерным системам Conti.
Представитель правоохранительных органов, общавшийся с CNN, предпочитает, чтобы Даниил сохранял этот скрытый доступ, а не извещал синдикат о своем присутствии путем утечки данных.
«Публичное обнародование информации, как это сделало [утечка], безрассудно, — сказал CNN представитель правоохранительных органов США. — Сотрудничество с правоохранительными органами может добиться более существенного и длительного эффекта в срыве деятельности таких групп, как Conti».
Но Джон Фоккер, бывший следователь по киберпреступности из голландской полиции, сказал, что утечка информации может быть полезна для полицейских, преследующих кибер-мошенников.
«Да инфраструктура может быть засвечена. Однако количество данных, предоставленных в утечках, дает мне уверенность, что правоохранительные органы получили информацию, необходимую для сдачи обвинений в отношении ключевых лиц», — сказал Фоккер.
Каталог проступков
Утечки Conti – это впечатляющий каталог вероятных преступлений многомиллионного преступного предприятия.
Члены Conti, каждый из которых использует псевдонимы, обсуждают мудрость вымогательства у малого бизнеса США, воздерживаясь от взлома российских целей. Они также интересуются журналистом, который пишет о Навальном, российском оппозиционере.
В апреле 2021 года члены Conti mango и johnyboy77 обсуждали планы получить доступ к файлам, принадлежащим журналисту расследовательного издания Bellingcat. Издание опубликовало совместное расследование с CNN в декабре 2020 года о якобы роли российской разведки ФСБ в расследовании отравления Навального.
Христо Грозев, ведущий следователь Bellingcat, написал в Твиттере, что утечка чата подтверждает анонимную подсказку, полученную Bellingcat, о том, что «глобальная киберпреступная группа, действовавшая по приказу ФСБ, сломала одного из ваших соавторов».
По словам Кимберли Гуди, директора отдела анализа киберпреступности в охранной фирме Mandiant, оперативники Conti ссылаются в своих чатах на Литейный проспект в Санкт-Петербурге, где есть местные офисы ФСБ.
«Вообще говоря, было бы относительно неожиданно узнать, что такая масштабная операция не будет каким-либо образом использоваться как актив [российским правительством] в определенный момент времени», — сказала Гуди CNN.
Это моя работа
Кибератаки сыграли вспомогательную роль в войне на Украине. Белый дом обвинил российскую военную разведку ГРУ в выводе из сети ключевых веб-сайтов украинского правительства перед вторжением. Кремль отрицает обвинения.Американские чиновники также расследуют взлом спутниковой сети, обслуживающей части Украины, которое произошло в начале российского вторжения.
Со своей стороны, украинское правительство поощряет ИТ-армию хакеров-добровольцев в Украине и за рубежом к кибератакам на российские организации.
В свободном для всех украинском киберпространстве такие боевики, как Данило, участвуют на собственных условиях.
На вопрос, как он себя чувствует в последние дни, Данило однозначно отвечает: «Еще жив».
Данило вспоминал, как в первые дни войны он вошел в бункер во время бомбардировки со своим ноутбуком и работал над файлами Conti. Другого человека в бункере смутило, что при обстреле он был сосредоточен на своем компьютере и он спросил, что Данило делает.
«Это моя работа, – сказал он CNN. «[Я делаю это], потому что могу».
По материалам: CNN