Clop, un grup de hackeri vorbitori de limbă rusă specializat în ransomware, are propriul site web. Da, acest lucru există – infractori care își încurajează în mod deschis victimele să negocieze o răscumpărare pentru returnarea datelor lor ca și cum ar fi o afacere comercială legitimă.
Folosind un limbaj care este în același timp comercial și înfricoșător, îndeamnă utilizatorii să deschidă un dialog, declarând că au la dispoziție o fereastră de trei zile pentru a discuta prețul. Acesta promite că echipa Clop va furniza câteva mostre de fișiere pe care le-a criptat „ca dovadă că nu mințim”. În caz de nerespectare, toate datele furate vor fi publicate.
Ca și în cazul altor grupuri de ransomware, pagina web a Clop este accesibilă doar pe dark web prin Tor („The Onion Router”). Dacă acest lucru pare o provocare, în zilele noastre, un copil de șapte ani ar putea să o acceseze pentru dumneavoastră în câteva minute. Pagina de pornire include o scandalagiuță indignată la adresa BBC pentru că ar fi prezentat în mod greșit activitățile lui Clop. Se termină cu un îndemn adresat mass-mediei tradiționale: „Nu mai creați propagandă prin crearea de povești interesante. Singura poveste este că vrem bani pentru munca noastră. Dacă avem dosarele voastre de afaceri, trebuie să plătiți. Vorbiți și fiți rezonabili și ne strângem la înțelegere”.
Potrivit lui Mikko Hypponen, director de cercetare la WithSecure din Helsinki și unul dintre cei mai renumiți vânători de bande cibernetice rusești, Clop „este un grup infracțional vorbitor de limbă rusă care operează din Rusia și Ucraina”. Hypponen remarcă faptul că, de la invazia Rusiei în Ucraina, numărul atacurilor ransomware împotriva companiilor și instituțiilor din Europa și SUA care emană din Ucraina a scăzut, în timp ce cele lansate din interiorul Rusiei au crescut.
Au fost câteva luni aglomerate pentru Clop. În iunie, grupul a anunțat că a descoperit o vulnerabilitate într-un produs software numit MOVEit. Acest software de transfer de fișiere a permis, la rândul său, accesul hackerilor de la Clop la furnizorul de salarii digitale Zellis.
Deși Boots, British Airways și BBC au fost raportate chiar de BBC ca fiind printre sutele de companii care au căzut victime ale atacului masiv de ransomware din acea lună, Clop a negat că a cules date de la acestea – de aici schimburile acerbe cu radiodifuzorul. Zellis a emis un comunicat de presă, recunoscând că „un număr mic de clienți ai noștri au fost afectați de această problemă globală”, dar nu a vrut să se pronunțe asupra identității acestora. Între timp, Clop a început să primească plăți sau să publice materiale de la alte victime ale pirateriei informatice MOVEit.
În imposibilitatea de a-și accesa propriile date, multe victime au apelat la site-ul web al Clop pentru a urma instrucțiunile utile despre cum să plătească în bitcoin. Amenințarea era clară: dacă nu se conformau până la o anumită dată, datele confidențiale, inclusiv numele și detaliile clienților și ale personalului, urmau să fie făcute publice.
Pagubele materiale și de reputație în astfel de cazuri pot fi uriașe, iar unele companii plătesc, în ciuda faptului că guvernele le sfătuiesc adesea să nu o facă.
Un motiv pentru creșterea nivelului de activitate al Clop și al altor grupuri de ransomware este războiul din Ucraina. Legătura este obscură. Dar nu puteți înțelege criminalitatea cibernetică rusă fără să apreciați relația acesteia cu interesele de securitate națională ale Rusiei.
Există un indiciu într-o scurtă notă intrigantă la jumătatea paginii de pornire a Clop: „PS. Dacă sunteți un guvern, un oraș sau un serviciu de poliție, nu vă faceți griji, v-am șters toate datele. Nu este nevoie să ne contactați. Nu avem niciun interes să expunem astfel de informații.”
S-ar putea spera că există o oarecare onoare printre hoții cibernetici și că Clop nu expune guverne sau polițiști din cauza credinței în serviciul public. Sunt convins că Clop ar întoarce lucrurile în acest fel, dar motivul real este mai complicat. Rădăcinile poveștii se întorc în 2002, în portul ucrainean Odesa și la una dintre cele mai extraordinare conferințe publice organizate vreodată.
În vremuri normale, Hotelul Odesa este cel mai bun loc de unde se poate vedea orașul. Se spune în glumă că nu pentru că dă spre treptele pe care Serghei Eisenstein a filmat cea mai faimoasă scenă din prima sa capodoperă, Corabia Potemkin. Mai degrabă, este singurul loc de unde nu se poate vedea brutalistul Hotel Odesa, situat în mod incongruent pe unul dintre cheiurile de lucru ale portului. Din motive de securitate națională ucraineană, nici hotelul și nici Treptele Potemkin nu sunt în prezent accesibile publicului.
Dar la sfârșitul lunii mai 2002, cei 400 de oaspeți care s-au adunat acolo nu erau interesați nici de hotel, nici de trepte. Adunați din întreaga lume, aceștia veniseră pentru unul dintre cele mai remarcabile, deși puțin cunoscute, evenimente din istoria postbelică: prima și, după câte știu, ultima conferință organizată în mod public de criminali declarați.
Au venit din Noua Zeelandă, din Canada și din Brazilia, pentru a face schimb de idei și de informații despre cele mai recente evoluții din lumea criminalității cibernetice. Sesiunile plenare au avut loc la hotel, în timp ce grupurile de discuții s-au dispersat prin oraș în diverse baruri pentru paneluri pe teme precum: „De ce să ne concentrăm pe Mastercard și Visa? Dezvoltarea piețelor de nișă ale Diners, American Express”.
Prima Conferință Mondială a Carders a fost ideea administratorilor unui site de referință, carderplanet.com. Cunoscută sub numele de „familia”, aceasta era un grup mixt de tineri, atât ucraineni, cât și ruși, care își petrecuseră cei 10 ani anteriori crescând într-o atmosferă plină de viață a capitalismului gangsteristic.
În anii 1990, legea și ordinea convențională din fosta Uniune Sovietică s-au prăbușit. Prăbușirea sistemului comunist lăsase un vid în care apăreau noi forme de activitate economică.
Tinerii infractori care s-au înscris la conferința de la Odesa nu erau mânuitori de arme. Ei se lăudau cu un talent diferit: capacitatea avansată de calcul. Își perfecționau abilitățile în același timp în care întreprinderile occidentale începuseră să experimenteze cumpărarea și vânzarea de lucruri pe internet. În această lume nouă și curajoasă a comerțului pe internet, securitatea ocupa doar un mic teritoriu.
Fondată cu un an înainte de conferință, CarderPlanet a revoluționat activitatea infracțională pe internet, în special comerțul profitabil cu date de carduri de credit furate sau clonate, prin rezolvarea enigmei cu care se confruntau până atunci toți răufăcătorii de pe internet: cum pot face afaceri cu această persoană, deoarece știu că este un infractor, deci trebuie să fie de neîncredere prin definiție?
Pentru a evita această problemă, administratorii CarderPlanet au creat un sistem de escrow pentru infractori. Aceștia ar acționa ca garant al oricărei vânzări criminale de date de carduri de credit și de debit – o parte dezinteresată care să medieze între vânzător și cumpărător. Acest lucru a reflectat apariția mafiei siciliene la începutul anilor 1860, după Războiul de Independență din Italia. Mafia nu a început ca infractori, ci ca mediatori independenți ai piețelor nereglementate de bovine și fructe.
Versiunea din secolul XXI implica faptul că vânzătorul a, să zicem, 5.000 de detalii de carduri de credit furate le trimitea în format digital ofițerului de escrow din Odesa. Între timp, cumpărătorul trimitea un teanc de e-gold, o monedă digitală care a fost un precursor al bitcoin. Ofițerul escrow testa câteva dintre carduri la întâmplare în bancomate din întreaga lume, folosind prieteni „carderi”. În cazul în care cardurile de credit funcționau, CarderPlanet păstra banii de la bancomate ca taxă de escrow, înainte de a elibera banii digitali vânzătorului și detaliile cardului cumpărătorului.
Sistemul de escrow a dus la o explozie a infracțiunilor cu carduri de credit în întreaga lume, în care s-au făcut multe averi criminale.
Am intervievat un carder din New York în 2010, care închiria un apartament în Upper East Side pe care îl umplea cu bani extrași de la bancomate cu carduri de credit clonate. „Aveam literalmente teancuri de bancnote de 100 și 50 de dolari stivuite în fiecare cameră a apartamentului”, a spus el. Statele Unite au fost și rămân ținta preferată a falsificatorilor de carduri din cauza refuzului băncilor americane și al emitenților de carduri de a investi în tehnologia chip-and-pin, pe care băncile europene au introdus-o de timpuriu ca un instrument foarte eficient împotriva activităților frauduloase.
Căutând în cele mai profunde ascunzișuri ale web-ului în timp ce mă documentam pentru cartea mea Piața întunecată: Cum au devenit hackerii noua mafie, am fost încântat să găsesc comunicatul de presă emis de FWCC. Dar un lucru mi s-a părut ciudat la primul paragraf: „Conferința a luat în considerare problema critică a inadmisibilității oricărei acțiuni împotriva sistemului de facturare, a băncilor sau a oricărei alte instituții financiare din Rusia, Ucraina și Belarus. Mai mult, familia va trata fără milă orice carder care va fi găsit implicându-se în astfel de activități”.
Am fost surprins de faptul că CarderPlanet s-a chinuit să organizeze evenimentul unic al unei conferințe penale în public, doar pentru a-i avertiza pe participanți în primul paragraf împotriva comiterii de infracțiuni. Care a fost scopul?
Când a avut loc prima conferință mondială a carderilor a avut loc în 2002, relațiile dintre Rusia și Ucraina erau mult mai apropiate. Frontierele dintre cele două țări nu erau doar poroase, ci abia existau. Iar ambele țări aparțineau, alături de alte câteva foste republici sovietice, unei confederații numite Comunitatea Statelor Independente. Roman Stepanenko Vega, un cetățean ucrainean vorbitor de limbă rusă care a fost unul dintre fondatorii și administratorii CarderPlanet, mi-a explicat cum „cu două zile înainte de deschiderea FWCC, am primit vizita unui agent FSB [Federal Security Service] ofițer din Moscova. Acesta ne-a explicat că Moscova nu avea nicio obiecție cu privire la clonarea cardurilor de credit sau la fraudarea băncilor din Europa și Statele Unite, dar că orice loc din cadrul CSI era interzis”.
În plus, ofițerul FSB i-a făcut cunoscut lui CarderPlanet că, dacă statul rus ar avea vreodată nevoie de asistență din partea unor bande criminale, ar trebui să coopereze. Șase ani mai târziu, un atac cibernetic masiv asupra unuia dintre statele baltice a dezvăluit natura acelei colaborări între interesele de securitate națională ale Rusiei și hackerii criminali.
Fosta republică sovietică Estonia a înfuriat Kremlinul prin mutarea unui memorial al Armatei Roșii din centrul capitalei, Tallinn, într-un cimitir aflat la 3 km distanță (unde, întâmplător, arată destul de demn). În 2007, Estonia – țara cea mai sofisticată din punct de vedere digital din Europa – a suferit ceea ce guvernul său crede că a fost un atac masiv de refuz distribuit al serviciilor sponsorizat de statul rus împotriva guvernului, a mass-mediei și a sistemului bancar. Un atac DDoS este un atac automatizat prin care zeci sau sute de mii de computere solicită accesul la un site web în același timp. În acest caz, atacul coordonat a copleșit sistemele Estoniei, iar țara s-a simțit obligată să se deconecteze de la internetul din afara granițelor sale timp de patru zile.
Experții americani, israelieni și estonieni în domeniul securității cibernetice au urmărit atacul până la serverele din Rusia. Potrivit lui François Paget de la McAfee, o parte a atacului a provenit probabil de la Russian business Network, acum dispărut, dar la vremea respectivă cel mai mare grup criminal cibernetic din Rusia, cu sediul în Sankt Petersburg.
Membrii bandelor criminale au fost recrutați ulterior în echipe de hacking notorii susținute de stat, cum ar fi Advanced Persistent Threat 28. Născută de GRU, serviciile secrete militare rusești, APT28 a primit porecla Fancy Bear de către inginerii occidentali de securitate cibernetică. Un alt grup, APT29, cunoscut sub numele de Cozy Bear, este considerat a fi creația SVR, echivalentul rusesc al MI6..
APT28 este cel mai bine cunoscut pentru că a făcut ravagii cu campania Sandworm, descrisă în mod strălucit în cartea cu același nume a jurnalistului Andy Greenberg. Iar în 2015, la un an după prima invazie a Rusiei în Ucraina, a doborât o parte din rețeaua electrică din Ivano-Frankivsk, în vestul Ucrainei. Acest atac asupra infrastructurii naționale critice a Ucrainei a reprezentat o escaladare a tacticilor de spionaj cibernetic și sabotaj.
Americanii și israelienii au fost cei care au dat startul atacurilor cibernetice asupra infrastructurii naționale critice. Cu ceva timp înainte de 2010, ei au infiltrat Stuxnet, cel mai puternic virus creat vreodată, în rețeaua instalației iraniene de îmbogățire a uraniului nuclear de la Natanz. Dar dezactivarea rețelei electrice ucrainene a fost prima dată când un atac a avut un impact direct asupra civililor, aproximativ 200.000 de persoane fiind private de energie electrică.
Încă de la invazia Rusiei în Donbas și Crimeea în 2014, Ucraina a fost obiectul unor atacuri cibernetice rusești persistente și de amploare. În afară de impactul brutalului virus NotPetya din 2017, ucrainenii, ale căror competențe informatice avansate au apărut din același sistem de învățământ sovietic ca și cele ale rușilor, s-au dovedit foarte eficienți în protejarea rețelelor lor.
În jurul anului 2016, ransomware-ul a început să domine activitățile grupurilor de infractori cibernetici. Ransomware este un software malign care permite atacatorului să cripteze datele dintr-un sistem infectat. În primii trei ani de activitate a ransomware, bandele criminale pur și simplu extorcau plăți de la proprietarul datelor. Odată primită (de obicei în bitcoin), banda decripta datele pentru ca proprietarul să le poată accesa din nou.
De la sfârșitul anului 2019, însă, neplata a dus la o altă tactică. Grupurile de ransomware publică acum datele pe internet, pentru ca oricine să le poată accesa, ceea ce poate duce la daune materiale și reputaționale uriașe.
Nu este vorba doar de ruși care se angajează în atacuri ransomware. În 2022, Canada a extrădat unul dintre cetățenii săi în SUA, unde a fost condamnat la 20 de ani și a pierdut 21,5 milioane de dolari. Însă, începând din jurul anului 2010, bandele rusești au putut acționa cu impunitate – cooperarea anterioară dintre MVD, ministerul de interne al Rusiei, și agențiile de aplicare a legii europene și americane s-a epuizat pe măsură ce relațiile dintre Rusia și Occident s-au deteriorat.
Pandemia a accelerat mișcarea în rândul companiilor care își puteau permite acest lucru de a externaliza rețelele și datele în cloud. În loc să fie nevoite să gestioneze sisteme complexe, dar greoaie, companiile au subcontractat toată munca grea unor întreprinderi specializate care să gestioneze acest lucru de la distanță. În general, acest aranjament a asigurat o mai mare securitate, deoarece depindea mai puțin de cea mai mare vulnerabilitate a computerelor: operatorii umani.
Dar în contextul închiderii, când multe persoane au fost forțate să lucreze de acasă, a fost mult mai dificil să se mențină standardele necesare de igienă digitală. În jargonul cibernetic, WFH a „lărgit suprafața de atac”. Ca atare, pandemia a fost o adevărată bogație pentru infractorii cibernetici. Atacurile de tip ransomware au luat amploare. În decembrie 2020, s-au filtrat știri despre un hack reușit lansat de Cozy Bear, care a dus lumea malversațiunilor cibernetice la un alt nivel.
Gruparea susținută de Rusia a pătruns în rețeaua SolarWinds, o corporație cu sediul în SUA care a gestionat administrarea și securitatea a 300.000 de companii distincte, inclusiv Microsoft, Trezoreria SUA și FireEye, o companie americană de top în domeniul securității cibernetice. Cu acest singur hack, rușii au avut brusc acces la o zonă vastă de materiale sensibile. Toată lumea a intrat în panică. Securitatea cibernetică a urcat pe lista de priorități a președintelui ales Joe Biden.
La scurt timp după aceasta, un alt grup infracțional rusesc, DarkSide, a făcut un pas prea departe. În timpul unei campanii de ransomware fără discernământ, DarkSide a compromis sistemele Colonial Pipeline, o companie care distribuie 45% din petrolul rafinat către stațiile de alimentare de pe coasta de est a SUA. Deși Colonial a cedat rapid, plătind aproximativ 4,4 milioane de dolari hackerilor, pentru administrația Biden acesta a fost un atac direct asupra infrastructurii naționale critice a SUA. Nu chiar o declarație de război, dar nici pe departe.
Sursele de informații occidentale spun că, după câteva convorbiri între Washington și Moscova, DarkSide a făcut o întoarcere, restabilind toate datele criptate ale Colonial. FBI-ul a afirmat chiar că a recuperat cea mai mare parte a răscumpărării pe care Colonial o plătise, obținând cumva acces la portofelul bitcoin al DarkSide. Cu toate acestea, evenimentele au determinat Casa Albă să organizeze un summit între președinții Biden și Putin la Geneva, în urmă cu doi ani. Atacurile cibernetice constante ale Rusiei, lansate fie de infractori, fie de serviciile de informații, au fost principalul punct de pe ordinea de zi în ceea ce-i privește pe americani.
Pentru a-l avertiza pe Putin să oprească câinii digitali, Biden i-a prezentat omologului său rus o listă de 16 sectoare industriale pe care SUA le consideră interzise pentru atacurile criminale. „Vom răspunde cu mijloace cibernetice”, a spus Biden. „El știe”. Aceasta nu a fost o amenințare goală. Toate țările recunosc faptul că capacitatea cibernetică ofensivă a SUA o depășește pe cea a tuturor concurenților săi.
Strategia lui Biden a funcționat, până la un punct. Pentru prima dată, poliția rusă a început să aresteze și să încarcereze grupuri de infractori cibernetici. Ei au filmat ostentativ arestarea uneia dintre cele mai mari grupări, REvil, și au publicat imaginile pentru consumul general.
Pauza a durat șase luni. Cu toate acestea, de la începutul lunii ianuarie 2022, o serie de atacuri puternice împotriva guvernului ucrainean, a armatei și a rețelelor media a contribuit la convingerea comunității de informații americane că Rusia era pe cale să invadeze Ucraina.
De atunci, grupurile de ransomware vorbitoare de limbă rusă au redevenit foarte active, aparent ca parte a efortului de război al lui Putin. Apărările cibernetice ale Ucrainei, perfecționate de-a lungul multor ani de atacuri rusești, sunt de top și susținute de serviciile de informații ale SUA, Marii Britanii și Canadei. Dar restul Europei a fost în mod special ținta noului val de atacuri. Potrivit experților în securitate cibernetică, guvernul rus oferă acestor grupări criminale informații despre potențiale ținte. „Aceste bande vor să facă bani„, spune Hypponen, „dar, în timp ce fac bani, încearcă, de asemenea, să sprijine Mama Rusia”.
Dar, încă o dată, hackerii au fost atenți să nu treacă peste ceea ce americanii consideră linii roșii, așa cum au fost sfătuiți, probabil, de serviciile de securitate ale Rusiei. Rusia este probabil încrezătoare că perturbarea afacerilor europene va fi puțin probabil să provoace un atac cibernetic. Dar SUA – fie că este vorba despre guvernul, municipalitățile sau poliția sa – rămâne strict off-limits. În spațiul cibernetic, reperele care separă infractorii, statul și interesele militare și corporative devin tot mai neclare în fiecare an.
Misha Glenny este rector al Institutului de Științe Umane din Viena și producător executiv al filmului „The Billion Dollar Heist”, lansat pe 14 august
Aflați primii despre cele mai recente povești ale noastre – urmăriți @ftweekend pe Twitter
Sursa: www.ft.com
