Et agit parfois dans l’intérêt de la Russie
Pendant des années, les groupes cybercriminels russes ont agi en quasi impunité. Le Kremlin et les forces de l’ordre locales ont largement fermé les yeux sur les attaques de ransomware perturbatrices tant qu’elles ne visaient pas les entreprises russes. Malgré la pression directe exercée sur Vladimir Poutine pour qu’il s’attaque aux groupes de ransomware, ceux-ci restent intimement liés aux intérêts de la Russie. Une récente fuite provenant de l’un des groupes les plus notoires de ce type donne un aperçu de la nature de ces liens. La portée et l’ampleur de cette fuite sont sans précédent ; jamais auparavant les rouages quotidiens d’un groupe de ransomware n’avaient été mis à nu
Le gang des ransomware Conti, ce réseau tentaculaire de cybercriminels a extorqué 180 millions de dollars à ses victimes l’année dernière, éclipsant les gains de tous les autres gangs de ransomware. L’implosion de Conti a commencé par un simple message sur le site Web du groupe, habituellement réservé à la publication des noms de ses victimes. Quelques heures après que les troupes russes ont franchi les frontières ukrainiennes le 24 février, Conti a offert son “soutien total” au gouvernement russe et a menacé de pirater les infrastructures critiques de quiconque oserait lancer des cyberattaques contre la Russie.
Mais si de nombreux membres de Conti vivent en Russie, son champ d’action est international. La guerre a divisé le groupe ; en privé, certains se sont élevés contre l’invasion de Poutine. D’autant plus que parmi les dizaines de personnes ayant accès aux fichiers et aux systèmes de discussion internes de Conti figurait un chercheur ukrainien en cybersécurité qui avait infiltré le groupe. Ils ont commencé à déchirer Conti. Le 28 février, un compte Twitter nouvellement créé, appelé @ContiLeaks, a publié plus de 60 000 messages de discussion échangés entre les membres du gang, son code source et des dizaines de documents internes de Conti. Ces discussions révèlent aussi comment les membres de Conti ont des liens avec le Service fédéral de sécurité (FSB) et une conscience aiguë des opérations des hackers militaires soutenus par le gouvernement russe.
Alors que le monde s’efforçait de faire face à l’apparition et aux premières vagues de la pandémie de COVID-19 en juillet 2020, les cybercriminels du monde entier ont tourné leur attention vers la crise sanitaire. Le 16 juillet de la même année, les gouvernements du Royaume-Uni, des États-Unis et du Canada ont publiquement accusé les pirates militaires russes soutenus par l’État d’avoir tenté de voler la propriété intellectuelle liée aux premiers vaccins candidats. Le groupe de pirates Cozy Bear, également connu sous le nom de Advanced Persistent Threat 29 (APT29), attaquait des entreprises pharmaceutiques et des universités en utilisant des logiciels malveillants modifiés et des vulnérabilités connues, ont déclaré les trois gouvernements.
Quelques jours plus tard, les dirigeants de Conti ont parlé du travail de Cozy Bear et ont fait référence à ses attaques par ransomware. Stern, la figure de proue de Conti, et Professor, un autre membre important du gang, ont parlé de la création d’un bureau spécifique pour les « sujets gouvernementaux ». Dans la même conversation, Stern a déclaré qu’ils avaient quelqu’un “d’externe” qui payait le groupe (bien qu’il ne soit pas précisé pour quoi) et a discuté de la reprise des cibles de la source. « Ils veulent beaucoup de choses sur Covid en ce moment », a dit Professor à Stern. « Les cosy bears sont déjà en train de se frayer un chemin vers le bas de la liste ».
« Ils font référence à la mise en place d’un certain projet à long terme et semblent lancer cette idée qu’ils [la partie externe] aideraient à l’avenir. Nous pensons qu’il s’agit d’une référence au fait que, si des mesures d’application de la loi étaient prises à leur encontre, cette partie externe pourrait les aider dans ce domaine », explique Kimberly Goody, directrice de l’analyse de la cybercriminalité à la société de sécurité Mandiant” Goody souligne que le groupe mentionne également l’avenue Liteyny à Saint-Pétersbourg, où se trouvent les bureaux locaux du FSB.
Si les preuves des liens directs de Conti avec le gouvernement russe restent évasives, les activités du gang continuent de s’inscrire dans le cadre des intérêts nationaux. Selon Allan Liska, analyste pour la société de sécurité Recorded Future : « l’impression qui se dégage des conversations divulgués est que les dirigeants de Conti ont compris qu’ils étaient autorisés à opérer tant qu’ils suivaient les directives tacites du gouvernement russe. Il semble qu’il y ait eu au moins quelques lignes de communication entre le gouvernement russe et les dirigeants de Conti ».
En avril 2021, Mango, un cadre clé de Conti qui aide à organiser le groupe, a demandé à Professor : « Est-ce qu’on travaille sur la politique ? », lorsque le Professeur a demandé plus d’informations, Mango a partagé les messages de conversations qu’ils avaient avec une personne utilisant le pseudonymes JohnyBoy77. Les deux hommes discutaient des personnes qui « travaillent contre la Fédération de Russie » et de l’interception potentielle d’informations les concernant. JohnyBoy77 a demandé si les membres de Conti pouvaient accéder aux données d’une personne liée à Bellingcat, les journalistes d’investigation open source qui ont dénoncé les hackers russes et les réseaux secrets d’assassins.
En particulier, JohnyBoy77 voulait des informations liées à l’enquête de Bellingcat sur l’empoisonnement du leader de l’opposition russe Alexey Navalny. Il a posé des questions sur les dossiers de Bellingcat sur Navalny, a évoqué l’accès aux mots de passe d’un membre de Bellingcat et a mentionné le FSB. En réponse aux conversations de Conti, le directeur exécutif de Bellingcat, Christo Grozevm, a tweeté que le groupe avait déjà reçu une information selon laquelle le FSB avait discuté avec un groupe de cybercriminels du piratage de ses contributeurs. « Je veux dire, on est des patriotes ou quoi ? », Mango a demandé au professeur à propos des fichiers. « Bien sûr que nous sommes des patriotes », ont-ils répondu.
Le patriotisme russe est une constante au sein du groupe Conti, dont beaucoup de membres sont basés dans le pays. Cependant, le groupe a une portée internationale, compte des membres en Ukraine et en Biélorussie, et entretient des liens avec des membres plus éloignés. Tous les membres du groupe ne sont pas d’accord avec l’invasion de l’Ukraine par la Russie, et les membres ont discuté de la guerre. « Avec la mondialisation de ces groupes de ransomware, ce n’est pas parce que la direction de Conti s’alignait bien sur la politique russe que les affiliés ressentaient la même chose », explique Liska.
Si les membres du groupe font référence à des intérêts ou des agences gouvernementales russes, il est peu probable qu’ils travaillent pour le compte d’officiels. Les membres dirigeants de Conti peuvent avoir des contacts, mais les codeurs et programmeurs de base ne sont probablement pas aussi bien connectés. « Je pense que c’est vraiment un sous-ensemble plus limité d’acteurs qui pourraient avoir ces relations directes, plutôt que les opérations du groupe dans son ensemble », dit Goody.
Depuis la publication des dossiers internes de Conti les 27 et 28 février, le groupe a continué à travailler. « Ils ont définitivement réagi. On peut voir sur les chats qu’ils fermaient certaines choses et passaient à des chats privés. Mais c’était vraiment du business comme d’habitude, déclare Jérôme Segura, directeur du renseignement sur les menaces à la société de sécurité Malwarebytes ». Le groupe a continué à publier les noms et les fichiers des victimes de ransomware sur son site Web dans les semaines qui ont suivi la fuite.
Le piratage de Conti se poursuit malgré l’utilisation par les chercheurs en sécurité des détails contenus dans les fuites de Conti pour potentiellement nommer les membres individuels du groupe. La plus grande menace pour le groupe, cependant, pourrait venir du gouvernement russe lui-même. Le 14 janvier, la Russie a pris sa mesure la plus importante à ce jour contre un gang de ransomware. Le FSB a arrêté 14 membres du groupe REvil après avoir reçu des informations de responsables américains, alors que le groupe était en sommeil depuis plusieurs mois. « Des mesures seront prises si les autorités russes estiment que les dirigeants de Conti n’ont plus d’utilité, mais si Conti est en mesure de poursuivre ses activités ou de changer de marque, il n’y aura probablement aucune action. Si des mesures sont prises, elles seront probablement similaires à celles prises contre les membres de REvil, avec une série d’arrestations voyantes, pour ensuite relâcher discrètement la plupart des personnes arrêtées un mois ou deux plus tard prévoit Liska.
source : developpez