北京時間4月14日消息,2021年,俄羅斯組織Conti被美國聯邦調查局(FBI)列為了最猖獗的勒索軟件組織之一。不過現在,一系列內部文件的泄露可能讓它明白了作為網絡間諜活動受害者的感受。
這些泄露的文件揭示了Conti的組織規模、領導層和業務運作的細節,以及被認為是該組織最珍貴的資產:勒索軟件源代碼。文件之所被泄露,可能是因為Conti支持俄羅斯的立場遭到報復。
威脅情報公司Cyberint安全研究員薩繆爾·基恩(Shmuel Gihon)表示,Conti在2020年出現,並成長為世界上最大的勒索軟件組織之一。據他估計,該組織大約有350名成員,他們在短短兩年內共賺取了約27億美元(約合172億元)的加密貨幣。
FBI在其《2021年互聯網犯罪報告》中警告稱,Conti的勒索軟件是去年鎖定美國關鍵基礎設施的“三大變體”之一。FBI表示,Conti“最經常攻擊的對象是關鍵製造業、商業設施、食品和農業部門”。
“目前為止,它們是最成功的組織。”基恩稱。
就像普通科技公司
Conti完全隱匿,不像黑客組織“匿名者”(Anonymous)那樣有時對新聞媒體發表評論。但Cyberint、Check Point和其他分析了泄露信息的網絡安全機構表示,這些信息顯示Conti的運營和組織方式就像是一家普通科技公司。
軟件技術公司Check Point威脅情報部門負責人洛特姆·芬克爾斯坦(Lotem Finkelstein)指出,在翻譯了許多用俄語撰寫的信息后,其情報部門Check Point Research認定Conti具備了明確的管理、財務和人力資源職能,以及典型的團隊負責人向高級管理層彙報的組織層級結構。根據Cyberint的調查結果,有證據顯示Conti還有研發、業務開發部門。
Conti的組織結構
芬克爾斯坦稱,泄露的信息顯示Conti在俄羅斯設有辦公室,可能與俄羅斯政府有聯繫。“我們…我們的假定是,如果沒有得到俄羅斯情報機構的全面批准,甚至是一些合作,這樣一個擁有實體辦公室和巨額收入的龐大組織是無法在俄羅斯開展活動的。”他表示。俄羅斯此前否認參與網絡攻擊。
評選月度最佳員工
Check Point Research還發現,Conti擁有這麼幾類員工:
·受薪員工:其中一些人是用比特幣支付薪水,外加績效考核和培訓機會;
·談判代表:從支付的贖金中收取0.5%到1%的傭金;
·員工推薦計劃:如果員工可以招募到其他人並且讓其工作至少一個月,他們就能獲得獎金;
·月度最佳員工:可以獲得相當於一半工資的獎金。
Check Point Research的研究顯示,與那些正大光明的公司不同的是,Conti會對表現不佳的員工進行罰款。
員工表現不佳會被罰款
員工的真實身份也會被用戶名所隱藏,比如“大老闆”斯特恩(Stern)、“技術經理”布扎(Buza)和“斯特恩的合作夥伴和實際的辦公室運營主管”塔吉特(Target)。
“當與員工溝通時,Conti高層往往會說,為Conti工作終生受益,可以獲得高工資、有趣的任務、職業成長。”Check Point Research表示。
然而,一些泄露的信息卻描繪了一幅不同的畫面。例如,如果員工在三小時內以及在周末和節假日工作時間沒有及時回復郵件,他們就會受到被解僱的威脅。
招聘流程
芬克爾斯坦說,Conti既通過俄羅斯獵頭服務機構等合法渠道,也通過地下犯罪組織進行招聘。
《華盛頓郵報》前記者布萊恩·克雷布斯(Brian Krebs)在他的網絡安全網站KrebsOnSecurity上寫道,招聘很重要,因為“Conti低級別員工的流動率、人員流失率和工作倦怠率都相當高,這或許並不令人意外”。
Check Point Research稱,Conti招聘的一些員工甚至不是計算機專家,它曾僱人在呼叫中心工作。FBI已表示,“技術支持欺詐”呈上升趨勢,詐騙者冒充知名公司,提出解決電腦問題或取消訂閱費。
有些員工蒙在鼓裡
“令人震驚的是,我們有證據表明,並非所有員工都充分意識到自己是網絡犯罪集團的一員,”芬克爾斯坦表示,“這些員工以為自己在為一家廣告公司工作,而實際上他們是在為一個臭名昭著的勒索軟件組織工作。”
泄露的信息顯示,Conti經理就公司的情況對求職者撒了謊。其中一個經理對求職者說:“這裡一切都是匿名的,公司的主要方向是為滲透測試者提供軟件”。滲透測試者是合法的網絡安全專家,他們模擬針對自己公司計算機網絡的網絡攻擊。
“大老闆”斯特恩在一系列信息中解釋稱,該組織讓程序員從事一個模塊或部分軟件,而不是整個項目,從而讓他們蒙在鼓裡。斯特恩稱,如果員工最終發現了真相,他們就會提出加薪以留住員工。
已經倒閉了?
根據Check Point Research的研究,甚至在信息泄露前,Conti就表現出了運營困難的跡象。這些信息顯示,斯特恩在1月中旬左右陷入沉默,工資也停止發放。
就在Conti信息被泄露的幾天前,一條內部消息稱:“到處都是泄密,有人被逮捕……沒有老闆,沒有澄清……也沒有錢……我不得不要求你們所有人休假2-3個月。”
Check Point Research稱,儘管Conti已舉步維艱,但它很可能會東山再起。與前競爭對手REvil不同的是,Conti仍在“部分”運營。
Conti經受住了其他挫折,包括其使用的惡意軟件“惡作劇機器人”(Trickbot)被暫時禁用,以及在2021年幾名疑似“惡作劇機器人”開發者被逮捕。
儘管打擊勒索軟件組織的努力正在持續進行,但FBI預計,關鍵基礎設施面臨的攻擊將在2022年增加。