Russiske hackere avslørte seg selv

Russiske hackere avslørte seg selv

Interne, lekkede chatlogger viser det interne livet i beryktet hackernettverk.
Dataangrep er for alvor aktualisert. Krigen i Ukraina har gitt et unikt innblikk i et av verdens mest beryktede hackernettverk.

Onsdag 29. juni gikk alarmen. Et stort dataangrep rammet Norge. Det er verken første eller siste gang ubudne gjester banker på de digitale dørene. Denne gang gikk en rekke sider ned for telling. Også VG og NRK ble rammet.

Justisministeren gikk langt i å antyde at det var et russisk, kriminelt miljø som sto bak.

Russiske myndigheter avviste på sin side at de var involvert i angrepet.

Men Nasjonal sikkerhetsmyndighet (NSM) sa at de har sett lignende angrep i andre land.

Nå skal du få vite mer om hvordan ett kriminelt hackernettverk er organisert.

Vi tar utgangspunkt i en organisasjon som har gjort stor skade på norske virksomheter tidligere.

Denne historien starter 1. desember i fjor.

Da rammet krisen Nordic Choice.

Hotellkjeden var utsatt for et alvorlig dataangrep.

En ansatt hadde blitt lurt til å åpne en fil med ondsinnet kode.

Mange systemer gikk ned for telling. Konsekvensene var store:

Noen uker senere skjedde det samme hos Nortura.

Hackerne forsøkte å tanke ut 31 GB med data da alarmen gikk.

Angrepet kostet Nortura minst 40 millioner, fortalte DN.

Flere har studert lekkasjen.

Noen sammenligner den med hackerverdens svar på «Panama Papers» (ekstern lenke).

Sist i rekken er en rapport laget av Crystal Blockchain.

– Fra loggene ser vi at Conti planla å angripe 20–30 selskaper om dagen, forteller Nicholas Smart på e-post til NRK.

Han er leder for etterretning i selskapet.

– Hvis en virksomhet ikke betalte, ble de truet med ødeleggelse.

Rapporten deres baserer seg på en ny gjennomgang av datalekkasjen.

En lekkasje som fant sted i vinter. Kort tid etter at krigen i Ukraina var et faktum.

Personen bak var trolig en ukrainsk sikkerhetsarbeider.

Han eller hun likte dårlig at Conti tok side med Russland.

– Jeg kan ikke skyte noe. Men jeg kan kjempe med tastatur og mus, sa personen i et eksklusivt intervju med CNN.

Vedkommende endte med å lekke mange tusen chatmeldinger.

De gir et unikt innblikk i gruppas indre liv.

Gjennomgangen Crystal Blockchain har gjort, samt NRKs egne undersøkelser av deler av materialet, viser hvordan hackernettverket tenker og jobber.

– De har angrepet både sykehus og eldrehjem, sier Smart.

Dette er bare et lite utdrag av de mange chatmeldingene.

En annen dialog er den du kan lese under.

Her diskuteres det et pågående hackerangrep.

Offeret fremstår her å være et forsikringsselskap:

Conti har lenge vært ansett som en av de største globalt.

Altså – i «bransjen» løsepengevirus.

Målet deres er å lure offeret til å laste ned kode, slik at de slipper inn i nettverket.

Der krypterer de dataene, og låser deg og bedriften ute av systemene.

For å få tilgang til nøkkelen må du bla opp. Gjerne flere titalls millioner kroner. Dette vil de ha overført i form av bitcoin.

I Irland er Conti eksempelvis mistenkt for å stå bak angrepet mot Health Service Executive. Det største kjente angrepet mot et helsevesen.

Skadevare som dette har blitt en så alvorlig trussel at det kan true demokratiet og gjennomføringen av valg, mener noen eksperter.

Alt dette gjør at FBI er bekymret.

For å skjønne hvor Conti kommer fra, må vi stifte bekjentskap med et annet navn. Nemlig Wizard Spider.

De startet opp som et botnett (et nettverk av maskiner infisert av virus/trojanske hester) kalt TrickBot. Koden var skrevet for å stjele bankinformasjonen til folk.

Over årene gikk Wizard Spider over fra banksvindel til «big game hunting» (BGH).

Altså; de begynte å gå etter større bedrifter med programmene sine.

Deres første steg inn BGH ble et program døpt Ryuk. Så oppstod Conti som et «løsepengevirus as a service» i 2020.

Det betyr at du i realiteten har en plattform som du kan bruke for å gjøre dine egne løsepengeoperasjoner, uten å måtte håndtere all den kompleksiteten som følger med denne type programmer.

Med andre ord: Et ferdig opplegg en kriminell kan ta i bruk. Mot å gi 20 prosent av gevinsten til operatøren.

Wizard Spider har over årene fått et arsenal av verktøy som lar dem (og andre som bruker plattformen) kjøre flere ulike typer operasjoner. Fra angrep til utpressing.

En økende trend er også at brukerne av plattformer som Conti, også bruker en annen kriminell aktør kalt «access broker».

Disse er som «låsesmeder» som spesialiserer seg i å bryte seg inn i et mål og åpne dørene for den som betaler.

For noen tusen dollar kan du kjøpe tilgang og utføre løsepengeoperasjonen din.

Wizard Spiders verktøy spores tilbake til 2016, og i verktøykassa deres finner vi også andre kjente navn – som BazarLoader (skadelig programvare som ofte spres via en Excel-fil, og som lager en bakdør for hackerne).

Før chat-lekkasjene var det mange som mente Conti og Wizard Spider var to separate grupper. Nå fremstår det tydeligere at de er i/er samme organisasjon, mener noen eksperter.

Kilde: Adam Meyers hos CrowdStrike & Jan Henrik Schou Straumsheim hos PWC.

FBI sier Conti står for «den dyreste formen for løsepengevirus som noen gang er dokumentert».

Etaten anslår over 1000 ofre som har betalt inn over halvannen milliard kroner. Amerikanerne har utlovet 15 mill. dollar i dusør.

De er svært interessert i informasjon om dem som står bak.

Kanskje kan denne store lekkasjen bidra med ny informasjon om skurkene?

Meyers er en av sjefene hos CrowdStrike.

– Blant annet ser vi at de har flere operasjoner, og også har samarbeid med en annen stor aktør.

Lekkasjen viser hvor store disse organisasjonene er.

En gruppe som Conti har alene hundrevis av medlemmer, sier Meyers til NRK.

Andre eksperter har pekt på at sporene – så som bitcoin- og e-postadresser, kan gi viktige ledetråder til politi og myndigheter.

Etter et vellykket angrep legger hackerne igjen en fil med en adresse. Den leder offeret inn til en chat, hvor de kan kommunisere med hackerne. Denne skjermdumpen viser hva som møter offeret.

For å skjønne litt mer av hvordan disse folka jobber og kommuniserer, har også NRK lastet ned og studert deler av materialet.

I meldingene diskuteres det blant annet lønn og arbeidstider.

Lønn utbetales vanligvis to ganger i måneden: På den 1. og 15.

Ved å studere adressen over, kan NRK for eksempel se at et medlem mottok cirka 35.000 kroner i juni i fjor.

Noen ganger ber ansatte om ekstra penger. En skriver at vedkommende trenger litt ekstra etter at et familiemedlem fikk hjerteinfarkt.

Men av meldingene leser vi også at utbetalingene ikke alltid skjer smertefritt.

– Vi må snakke om lønn igjen. Det er så mye rot. Har du et minutt?, skriver «Mango» til lederen «Stern».

– Jeg kan gi deg et oppdatert liste over lønn og betalinger. Det ville vært fint om du kunne sett på dette i dag, skriver han videre.

«Stern» er altså han som er pekt ut som sjefen.

Men han er bare én av flere som utgjør ledelsen i Conti.

• Stern
  • Sjefen med den overordnede styringa.
  • Styrer mange av prosjektene.
  • Betaler lønn til flere av medlemmene.
  • Administrerer de fleste av utgiftene.
• Bentley
  • Teknisk leder.
  • Har ansvaret for å påse at skadelig programvare fungerer.
  • Administrerer et team av folk som jobber med kryptering og testing.
• Mango
  • Tar seg av generelle spørsmål.
  • Løser problemstillinger mellom faggrupperinger i Conti.
  • Hjelper til med HR-oppgaver. Betaler bl.a. ut lønn.
• Buza
  • Teknisk sjef med ansvar for kodere og deres leveranser.
  • Jobber med utvikling innen flere programmererteam.
• Target
  • Ansarlig for hackernes team, deres internkommunikasjon og arbeidsmengde.
  • Administrerer offline-kontorer, budsjett og diverse annet.
• Veron aka mors
  • Administrerer aspektene ved Emotet-kampanjer.
  • Dette er enkelt forklart skadelig programvare. De første versjonene fungerte som banktrojanere som hadde som mål å stjele banklegitimasjon.
  • Veron gjør denne jobben i tett samarbeid med andre medlemmer.

Oversikten over baserer seg på en grundig jobb fra Check Point.

Den viser at Conti er satt opp som et vanlig teknologiselskap:

De skal også ha fysiske kontorer.

Ifølge CNBC skal flere av disse befinne seg i Russland. Moskva har selv tidligere avvist at de er delaktig i dataangrep, skriver kanalen.

– Jeg tror det er ekstremt lite sannsynlig at du tjener millioner av dollar i Russland, uten at russiske myndigheter vet hvem du er, sier Meyers hos CrowdStrike.

Det kan være en ren informativ relasjon, eller noe mer formelt, tror han.

– Jeg ser uansett for meg at de vet hvem denne gjengen er, og at de har snakket med dem.

I en melding fra juni i fjor, kan NRK lese hvordan Stern jobber med en ansettelse.

Det kommer også fram at opptil 15–20 personer jobber med enkeltprosjekter.

Det resulterer i vellykkede angrep.

Ulike deler av organisasjonen har ansvar for ulike deler av operasjonen.

Her er en oversikt:

NRK forklarer Hvem har ansvaret for hva?

Bla videre Kodere

De som jobber med selve koden til skadevaren, servere og administrasjonspaneler. Kort og godt: Det som kreves for at Conti-gjengen kan gjøre sin daglige drift.

De som sjekker skadevaren opp mot kjente sikkerhetsløsninger, for å sikre at programvaren ikke blir oppdaget av antivirus og lignende.

Bistår med å gjøre endringer som øker sjansen for at nyttelaster, binærfiler og skript ikke blir oppdaget. Jobber ofte tett med testere.

Dette er medlemmer som jobber med å sette opp infrastrukturen som trenges for å kunne utføre angep. De yter også støtte etter behov. Dette inkluderer alle oppgaver som typisk håndteres av en IT-avdeling.

De som studerer eksisterende skadevare-verktøy som finnes der ute. Målet er å forstå hvordan andre har løst ting, og hente inspirasjon ut fra dette.

De som gis den første tilgangen til offerets maskin. Kalles ofte «hackere». Målet deres er å eskalere privilegier og oppnå administratortilgang, slik at de kan kryptere offerets data.

Når offerets data er kryptert og løsepenekrav er sendt, er det disse som går inn for å stille krav og sikre en avtale. Noen forsker på selskapet for å funne ut hva slags beløp det er realistisk å få ut. Andre gjør så forhandlingen i en chat. Atter andre håndterer publisering av offerets data (om de ikke betaler).

Forrige kort Kilde: CheckPoint Neste kort

Av loggene får vi også innsyn i arbeidstidene.

En person skriver at han jobber mellom 09.30 og 16.00.

Andre gir uttrykk for en løsning med fleksitid.

Flere jobber kveld og helger.

– God helg! Og god ferie, skriver en person på en fredag – glad over å få en pust i bakken.

Men helt fri virker det til at man egentlig aldri har.

Det er forventet at de ansatte trår til når det ligger an til et vellykket angrep.

Flere gir uttrykk for at de er slitne, viser søk som NRK har gjort i loggene:

Og som i andre firmaer, hender det at ansatte må melde seg syk.

Loggene inkluderer også, ifølge The Intercept, en god dose kvinnehat.

Det er diskusjoner om seksuelt misbruk av barn. Vitser om voldtekt.

Og antisemittiske kommentarer rettet mot Ukrainas president Volodymyr Zelenskyj.

Analyser gjort av Crystal Blockchain avdekker dessuten nye koblinger mellom Conti og andre kriminelle grupper.

– Det er sannsynlig at personer assosiert med Conti var involvert i hackingen av kryptobørsen Liquid i august 2021, sier Smart.

Samtidig skinner det også gjennom at de har sitt å stri med.

Siste punkt illustreres blant annet med denne meldingen fra en oppgitt person med kallenavnet «Driver»:

Det er også eksempler på det som tyder på dårlig intern organisering.

Ett eksempel handler om en senior i Conti.

Vedkommende går under navnet «Tramp».

Han står for mye av forhandlingene med ofrene.

Da han ikke var på jobb, gikk mye i stampe.

Straumsheim leder den norske avdelingen i PWC.

Som sikkerhetsfolk flest, kjenner han godt til Conti-navnet.

– Vi ser at Conti har medlemmer på tvers av tidligere Sovjetland. Inkludert Ukraina.

– Det er påståtte koblinger med russiske myndigheter, men det vet vi ikke sikkert.

– Hva er spesielt med disse chatloggene?

– De er interessante fordi de gir et sjeldent innblikk i en moderne cyberkrimorganisasjons indre liv.

– Ikke ulikt legitime virksomheter har de ansatte med ulike roller og ansvar. Men de møter også på utfordringer som ferieavvikling, personalkonflikter, og suboptimale arbeidsprosesser.

Et betimelig spørsmål er om det er grunn til å tro at loggene er falske.

NRK har snakket med flere eksperter som mener de ikke er det.

NRK forklarer Slik driver de utpressing

Bla videre

I fjor sommer skriver Mango til Stern at de må forbedre prosessen med utpressing.

– Problemet har vært at når man ringer, kommer man til en resepsjon som ikke kjenner situasjonen, skriver Mango.

– Du trenger noen form for bevis for å få resultat. Så har utviklet et smertefritt system for utpressingssamtaler.

– Det er en gruppe [som kommer til] ved forespørsel, skriver Mango.

Det fremstår som om at disse henter ut informasjon som kan være til nytte, f.eks. tekniske detaljer om servere og PCer.

– Vi [kobler på] analytikere, som lager en rapport.

– Hvis utpressingssamtaler kreves, kobles innrinngerne inn. De må ikke ringe i løse lufta slik som nå.

– De er i kontakt med analytikere, og kan be om ytterligere data fra dem, skriver vedkommende videre.

Kort fortalt ser tanken ut til å være slik: Gjennom å gjøre god rekognosering og hente ut mest mulig informasjon om selskapet i forkant, øker sjansene for å få ut penger.

Forrige kort Slik driver Conti utpressing Neste kort

– Vår vurdering er at det er overveiende sannsynlig at loggene er ekte. Det er et omfattende datamateriale, som også fremstår veldig «menneskelig», sier Straumsheim.

Men nå kan Conti være i gang med å endre seg, etter lekkasjen.

En endring som ingen egentlig helt vet hva innebærer.

Men som kan bety at Conti som merkevare er historie.

For å forklare dette, må vi ta det stegvis.

Det opprettes ulike chat-kanaler for ulike selskaper, og i disse refereres selskaper til som «døde» eller «ferdige». Det deles også YouTube-videoer om det siste innen sikkerhet, og hva som sies om dem i media. Med andre ord: De følger med.

La oss først spole tilbake til krigen i Ukraina, og måten lekkasjen skjedde på.

Flere eksperter mener medlemmer i Conti gjorde en skikkelig blemme da de ga sin støtte til Russland.

25. februar kunne man nemlig lese følgende i en bloggpost:

Den beskjeden skapte furore, også internt.

Husk at Conti har medlemmer både i Russland og Ukraina. Sistnevnte var ikke veldig begeistret over å lese en slik beskjed.

Kort tid etter ble ordlyden mildere. Teksten ble endret slik at Conti ikke tok tydelig side i konflikten.

Men da var det for sent. Lekkasjen ble kort tid etter et faktum.

Ved å antyde bånd til Russland, kan det rett og slett ha blitt vanskelig for dem å tjene penger. Og hvorfor det?

Det amerikanske cybersikkerhetsfirmaet AdvIntel er i alle fall tydelige på det.

De mener Conti faktisk knapt har mottatt løsepenger siden februar.

Om det er riktig, er vanskelig å bekrefte.

Men analysen deres har i alle fall blitt en slags snakkis på nettet.

Dette, sammen med at programvaren til Conti har blitt lettere å oppdage etter lekkasjen, kan ha gjort at de har blitt tvunget til å tenke nytt.

Et spørsmål noen da har stilt seg, er om de har gjennomført en avledningsmanøver for å skape seg et etterlengtet pusterom.

Til å få samlet kreftene sine.

Dette bringer oss over til neste punkt: Angrepet på Costa Rica.

Landet i mellom-Amerika har stått i en tøff kamp de siste månedene.

Det etter at to store løsepengevirus-angrep tok ned viktige tjenester.

– Dette er muligens den mest betydelige løsepengevirus-hendelsen til dags dato, sier trusselanalytiker Brett Callow i Emisoft til Wired.

– Jeg kan ikke huske noe lignende. At en hel regjering har blitt holdt mot løsepenger på denne måten. Det er ganske enestående.

NRK forklarer Slik rammet krisen Costa Rica

Bla videre

Angrepene førte bl.a. til at mye av handelen med utlandet stoppet opp, ifølge Wired. Også systemene for skatteinnkreving måtte skrus av.

Videre måtte det digitale systemet for journalføring stenges. Det påvirket 1200 sykehus og klinikker - og potensielt tusenvis av pasienter, skriver Reuters.

Det ble tidlig meldt om at hele 27 institusjoner i landet var påvirket av angrepet.

Krisen fikk landets nye president, Costa Rodrigo Chave, til å erklære krig mot hackerne i mai. Han kunngjorde nasjonal unntakstilstand.

Forrige kort Slik rammet krisen Costa Rica Neste kort

Hackerne krevde landet for 20 mill. dollar i løsepenger.

Det ble ikke innfridd.

Da begynte hackerne å dele 972 GB med filer.

Det er dette angrepet AdvIntel peker på kan ha vært en avledningsmanøver.

– Angrepet brakte Conti i søkelyset, mens de gjorde en stor omstrukturering internt, hevder de.

En analyse som har skapt diskusjon. For slett ikke alle er enige.

Skjermdump fra Costa Rica-angrepet. Conti har lekket mange filer.

– Jeg kjøper det ikke. Jeg tror det var en bruker av Conti-plattformen, med fokus på Latin-Amerika, som stod bak, sier Meyers i Crowdstrike.

– Er Conti død?

– Conti stenger ikke ned. Det er for mye penger involvert.

Han tror de vil dukke opp igjen under et annet navn.

Det har man sett før, når myndighetene begynner å puste en i nakken.

At man «re-brander».

– De vil nok se over sin interne struktur og øke sikkerheten.

Selv om meningene er flere, finner påstandene om at Conti kan ha tatt seg en lengre «ferie» gjenklang i chatloggene.

Etter et vellykket angrep må offeret inn på en chat for å kommunisere med hackerne. Slik ser det tilsynelatende ut fra deres side, for dette bildet er blant dem man finner i lekkasjen.

Lekkasjene fortsatte nemlig også etter den første dumpingen av lekkede data.

Dermed fikk man en unik anledning til å studere de interne reaksjonene på lekkasjen.

Check Point oppsummerer det slik:

Her er et utdrag av beskjeden som gikk ut fra Frances:

Ok – så hva skjer egentlig med Conti nå?

I perioden denne saken ble skrevet gikk Contis nettsted på Tor-nettverket i svart. Det mener noen tyder på at en «re-branding» er i anmarsj.

AdvIntel mener «nye» Conti vil ta i bruk en ny struktur. Som er mer horisontal og desentralisert enn det tidligere rigide hierarkiet.

Straumsheim hos PWC er ikke helt sikker på hva som er i gjære.

– Om de reorganiserer seg, eller tar en pause for så å komme tilbake igjen.

Det kan godt hende at Conti-organisasjonen, slik vi har kjent den, er i ferd med å bli splittet opp. Men det er vanskelig å fastslå noe sikkert, sier han.

– Men det vi har sett, er at det har vært en oppsving i aktivitet fra andre trusselaktører.

Den delen av «markedet» Conti har betjent, for å bruke det uttrykket, betjenes nå av andre.

– Så det er ikke slik at trusselen har blitt mindre.

AdvIntel har ikke svart på NRKs forespørsel om et intervju.

Per mai 2022 hadde PWC registrert 1022 ofre på ulike «leaksites».

Det er en liten økning fra samme tidspunkt i fjor, hvor det ble registrert 2435 året sett under ett (opp fra 1300 lekkasjer i 2020).

PWC ser også at det er en økende grad av spesialisering.

Noen utvikler skadevaren, andre sørger for selve det å bryte seg inn.

Mens atter andre er forhandlingseksperter.

– Norge er ikke forskånet mot utviklingen. Tvert imot.

– Vi gjorde en nylig undersøkelse, som viste at norske toppsjefer rangerer cybertrusler som sin største bekymring. Høyere enn pandemi og klimaendringer.

Her deles en mal på hvordan man skal formulere en utpressingsmail.

Allan Liska hos Recorded Future peker på den større trenden:

– Store cyberkrimgrupper tiltrekker seg mye oppmerksomhet fra politiet. Så mange grupper ser ut til å dele seg opp i mindre grupper, sier han til NRK.

Bare det siste halve året har de registrert 60 nye grupper som driver på med løsepengevirus. Det høyeste tallet siden 2015.

– De fleste av disse gruppene bruker ikke ny kode. De gjenbruker kode fra Contis, REvils, Chaos med flere. Så trusselen inkluderer ikke bare Conti-tilknyttede selskaper, sier Liska.

Han peker på at mange forlater større enheter og starter opp for seg selv.

Uansett hvilken form Conti inntar, er ekspertene enige om en ting:

Det er utopisk å tro at medlemmene ikke vil fortsette sine lyssky aktiviteter i den ene formen eller den andre.

– Til det tjener de for mye penger, samstemmer Sergey Shykevich. Gruppeleder for etterretning hos Check Point.

Jeg interesserer meg for datasikkerhet, og vil gjerne høre fra deg om du har historier knyttet til svindel og/eller hacking. Jeg har tidligere blant annet skrevet om kryptosvindel, fenomenet «deepfake» og hackingen av Nordic Choice.

NRK har også spurt amerikanske FBI om hva de vet om Conti per nå.

– Vi ønsker ikke å kommentere saken ytterligere, er den korte kommentaren fra en talsperson for FBI i en e-post til NRK.

Heller ikke Kripos ønsker å besvare NRKs spørsmål, utover at «de er kjent med Conti-nettverket og trusselen som løsepengevirus utgjør».

En ting flere av ekspertene synes å enes om, er at trusselbildet er i endring.

I Costa Rica så man at hackerne beveget seg inn i politikken. Noe som skal ha vakt reaksjoner selv i russiske hackerforumer.

Blant annet kunne man i en melding lese:

«Vi er fast bestemt på å styrte regjeringen via cyberangrep».

Sikkerhetsekspert Sergey Shykevich sier til Wired at han er overrasket over at hackerne kom med politiske ytringer.

Overfor NRK gir han uttrykk for at dette kan ha satt en slags ny presedens fremover.

– Narrativet rundt Costa Rica viser at cyberkriminelle med hell kan operere mot hele land, sier han.

Andre mener krigen faktisk har endret cyberkrim-bildet.

Deriblant Sergey Shykevich. Gruppeleder for etterretning hos Check Point:

– Definitivt, skriver Shykevich i en e-post til NRK.

– Det er fortsatt for tidlig å komme med endelige konklusjoner, men vi ser at alle i cyberrommet nå tar parti. Det fører definitivt til en økning i cyberangrep.

Synspunktet deles av Allie Mellen, analytiker hos Forrester.

– Ja, den russisk-ukrainske krigen er den første krigen vi har sett som har utnyttet Internett på en så ekstrem måte, sier hun til NRK.

LES MER: