Da Ruslands invasion af Ukraine går ind på sin femte dag, har en koalition ledet af USA og Europa iværksat et koordineret svar med fokus på økonomiske sanktioner og i stigende grad militær bistand. Mens konflikten vokser i omfang og intensitet, bliver organisationer langt ud over militær- og regeringsapparatet trukket ind – herunder ransomware-grupper, der er aktive i Rusland og Ukraine.
Denne tyngdekraft er særligt belastende i Rusland, hvor grænserne mellem hackere og de russiske efterretningstjenester nogle gange er porøse, og især én gruppe er blevet tvunget til at betale for sin troskab til Putins regime.
I fredags overraskede den berygtede ransomware-bande Conti mange iagttagere ved eksplicit at kaste sit lod med Putins militære dagsorden, erklære “fuld støtte” til den russiske regering og true med at angribe kritisk infrastruktur af enhver modstander, der lancerer cyberangreb mod Rusland.
Conti #ransomware-operationen slutter sig til Rusland og truer med angreb på kritisk infrastruktur. pic.twitter.com/L8E7lEW1MJ
— Brett Callow (@BrettCallow) 25. februar 2022
To dage senere, den 27. februar, kom Contis holdninger til at give bagslag spektakulært, da en anonym person lækkede en cache af chatlogfiler fra organisationen og afslørede en enorm mængde tidligere upubliceret information om ransomware-gruppens interne funktion.
De lækkede data indeholder mere end et års chatlogs fra open source-instant messaging-tjenesten Jabber, der indeholder beskeder mellem mindst 20 chat-håndtag, der formodes at tilhøre medlemmer af banden. Disse logs synes blandt andet at bekræfte en kommandokæde, der forbinder Conti med russiske efterretningstjenester. Ifølge Christo Grozev, administrerende direktør for open source-efterretningsforskningsgruppen Bellingcat, viser chatloggene, at medlemmer af Conti forsøgte at hacke en Bellingcat-bidragyder på ordre fra Ruslands vigtigste interne sikkerhedstjeneste, FSB.
Rusland er tidligere blevet bredt kritiseret for at huse cyberkriminelle grupper, og med visse undtagelser – især den offentlige nedtagning af REvil-hackergruppen af FSB i januar – har de stort set lov til at operere ustraffet, forudsat at de afholder sig fra at angribe indenlandske mål. Men selvom nærhed til den russiske regering har været en fordel for cyberkriminelle tidligere, er der nogle tegn på, at dynamikken i Ukraine-invasionen gør det til et ansvar.
Selvom identiteten på lækkeren ikke er blevet afsløret, sagde Alex Holden, den ukrainsk-fødte grundlægger af cybersikkerhedsfirmaet Hold Security, at logfilerne var blevet lækket af en ukrainsk sikkerhedsforsker, som havde formået at infiltrere Conti-banden.
“Dette er en ukrainsk statsborger, en legitim cybersikkerhedsforsker, som gør dette som en del af sin krig mod cyberkriminelle, der støtter den russiske invasion,” sagde Holden. Yderligere detaljer om lækerens identitet kunne ikke afsløres uden at risikere hans sikkerhed, sagde Holden.
“Dette er en ukrainsk statsborger … som gør dette som en del af sin krig mod cyberkriminelle, der støtter den russiske invasion”
The Record rapporterer også, at chatlogfilerne indeholder Bitcoin-adresser, hvor betalinger foretages til Conti-banden blev modtaget, og meddelelser om forhandlinger mellem Conti og virksomheder, der ikke havde afsløret en ransomware-hændelse.
Bill Demirkapi, en sikkerhedsforsker, der udgav en version af logfilerne oversat til engelsk via Google, bekræftede over for The Verge, at logfilerne indeholdt detaljer om Contis tekniske infrastruktur, logistiske operationer, diskussioner om nul-dages sårbarheder og detaljer om internt værktøj. I betragtning af den korte tidslinje siden udgivelsen af logfilerne, sagde Demirkapi, var det svært at vurdere den langsigtede indvirkning, det ville have på gruppen.
Selvom mange af de mest produktive ransomware-grupper anses for at være på linje med Rusland, er mange af dem i praksis transnationale enheder og inkluderer en mangfoldighed af etniciteter og nationaliteter, sagde Chester Wisniewski, ledende forsker ved Sophos. Med den internationale mening, der overvældende favoriserer Ukraine, kan mange af dem have besluttet at styre uden om konflikten i stedet for at erklære støtte til den russiske invasion.
“Den polariserende karakter af denne konflikt – som faktisk ser ud til at være hele verden versus Rusland – betyder, at der er langt mindre [cyberkriminel] aktivitet, end vi havde forventet,” sagde Wisniewski. “Jeg tror, der er en masse sympati for Ukraine blandt medlemmer af disse forskellige grupper, og som et resultat af dem holder de det.”
“For os er det bare forretning, og vi er alle upolitiske”
LockBit, en anden ransomware-gruppe og faktisk en konkurrent til Conti, udgav søndag en erklæring, der sagde, at gruppen ikke ville målrette mod vestlig infrastruktur, angiveligt på grund af organisationens internationale sammensætning. I stedet for at tilkendegive nogen støtte til Ukraine, erklærede erklæringen neutralitet i konflikten.
“For os er det bare forretning, og vi er alle upolitiske,” stod der i meddelelsen fra LockBit.
Selvom ransomware-bander (med undtagelse af Conti) har været tilbageholdende med at vælge side, har visse hacktivistgrupper – som per definition er politiske – skyndt sig at tilslutte sig sagen. En hacktivistgruppe, der opererer fra Hviderusland, har hævdet at forstyrre bevægelsen af militærenheder ved at lukke jernbanerne i landet, efter at den hviderussiske regering lancerede missilangreb mod Ukraine og indvilligede i at støtte Rusland ved at sende tropper over den ukrainske grænse.
Separat erklærede en Twitter-konto knyttet til Anonymous, at hackerkollektivet var “officielt i cyberkrig mod den russiske regering”, og gruppen påtog sig ansvaret for en række DDoS-angreb og andre hacks mod russiske regerings hjemmesider og mediekanaler.
Selvom andre grupper med stødende hacking-evner kan blive fristet til at deltage i konflikten, har cybersikkerhedsprofessionelle advaret mod eskalering. Uanset hensigten kan cyberangreb have uforudsete konsekvenser, især hvis mål er bundet til infrastruktur eller andre kritiske tjenester med applikationer ud over militæret.
“Jeg er bekymret for sideskader fra ' gode fyre,' vagtfolkene,” sagde Wisniewski. “At opmuntre folk til at angribe [cybermål], det er for mig en meget farlig situation … det er ikke bare en uskyldig aktivitet, når du ikke kender bivirkningerne.”