En russisk hackers bekjennelser

NRK
Del denne artikkelen på din favoritt SOME(Sosiale Media)

Nrk.no:

Onsdag 29. juni gikk alarmen.

Et stort dataangrep rammet Norge.

Det er verken første eller siste gang ubudne gjester banker på de digitale dørene.

Denne gang gikk en rekke sider ned for telling. Også VG og NRK ble rammet.

Justisministeren gikk langt i å antyde at det var et russisk, kriminelt miljø som sto bak.

Russiske myndigheter avviste på sin side at de var involvert i angrepet.

Men Nasjonal sikkerhetsmyndighet (NSM) sa at de har sett lignende angrep i andre land.

Nå skal du få vite mer om hvordan ett kriminelt hackernettverk er organisert.

Vi tar utgangspunkt i en organisasjon som har gjort stor skade på norske virksomheter tidligere.

Ble truet med ødeleggelse

Denne historien starter 1. desember i fjor.

Da rammet krisen Nordic Choice.

Hotellkjeden var utsatt for et alvorlig dataangrep.

En ansatt hadde blitt lurt til å åpne en fil med ondsinnet kode.

Mange systemer gikk ned for telling. Konsekvensene var store:

  • Gjester måtte låses inn manuelt.
  • Bookinglister ble skrevet med tusj på tavler.
  • Betalinger gikk via Vipps.

Noen uker senere skjedde det samme hos Nortura.

Hackerne forsøkte å tanke ut 31 DN.

Flere har studert lekkasjen.

Noen sammenligner den med hackerverdens svar på «Panama Papers» (ekstern lenke).

Sist i rekken er en rapport laget av CNN.

Vedkommende endte med å lekke mange tusen chatmeldinger.

De gir et unikt innblikk i gruppas indre liv.

Gjennomgangen Crystal Blockchain har gjort, samt NRKs egne undersøkelser av deler av materialet, viser hvordan hackernettverket tenker og jobber.

De har angrepet både sykehus og eldrehjem, sier Smart.

Dette er bare et lite utdrag av de mange chatmeldingene.

En annen dialog er den du kan lese under.

Her diskuteres det et pågående hackerangrep.

Offeret fremstår her å være et forsikringsselskap:

Target:Vi kontaktet via videooverføring.

Target:De tilbydde 18 bitcoin.

Professor:De omsetter for 30 mill.

Professor:De lurer oss. La de brenne.

Professor:Vi tar hele ledelsen.

Target:De ringer. Vær stille!

Target:De ber på sine knær.

Professor:HAHAHAHAHAH

Target:De truet oss. Og nå ber de på sine knær.

Professor:Til helvete med dem.

Professor:Få dem til å betale.

Target:De overfører nå. Ble enige om 75 bitcoin.

Professor:Fra noen som omsetter for 30 mill., er det veldig lite. Men okay.

Beryktet

Conti har lenge vært ansett som en av de største globalt.

Altså – i «bransjen» løsepengevirus.

Målet deres er å lure offeret til å laste ned kode, slik at de slipper inn i nettverket.

Der krypterer de dataene, og låser deg og bedriften ute av systemene.

For å få tilgang til nøkkelen må du bla opp. Gjerne flere titalls millioner kroner. Dette vil de ha overført i form av bitcoin.

I Irland er Conti eksempelvis mistenkt for å stå bak angrepet mot Health Service Executive. Det største kjente angrepet mot et helsevesen.

Skadevare som dette har blitt en så alvorlig trussel at det kan true demokratiet og gjennomføringen av valg, mener noen eksperter.

Alt dette gjør at FBI er bekymret.

FBI sier Conti står for «den dyreste formen for løsepengevirus som noen gang er dokumentert».

Etaten anslår over 1000 ofre som har betalt inn over halvannen milliard kroner. Amerikanerne har utlovet 15 mill. dollar i dusør.

De er svært interessert i informasjon om dem som står bak.

Kanskje kan denne store lekkasjen bidra med ny informasjon om skurkene?

Meyers er en av sjefene hos

Slik ser det ut når man er hacket.

Etter et vellykket angrep legger hackerne igjen en fil med en adresse. Den leder offeret inn til en chat, hvor de kan kommunisere med hackerne. Denne skjermdumpen viser hva som møter offeret.

Foto: Skjermdump

Får lønn i form av bitcoin

For å skjønne litt mer av hvordan disse folka jobber og kommuniserer, har også NRK lastet ned og studert deler av materialet.

I meldingene diskuteres det blant annet lønn og arbeidstider.

Lønn utbetales vanligvis to ganger i måneden: På den 1. og 15.

Mavemat:Hei, kan du sende lønn til denne adressen ***

Ved å studere adressen over, kan NRK for eksempel se at et medlem mottok cirka 35.000 kroner i juni i fjor.

Noen ganger ber ansatte om ekstra penger. En skriver at vedkommende trenger litt ekstra etter at et familiemedlem fikk hjerteinfarkt.

Men av meldingene leser vi også at utbetalingene ikke alltid skjer smertefritt.

– Vi må snakke om lønn igjen. Det er så mye rot. Har du et minutt?, skriver «Mango» til lederen «Stern».

– Jeg kan gi deg et oppdatert liste over lønn og betalinger. Det ville vært fint om du kunne sett på dette i dag, skriver han videre.

«Stern» er altså han som er pekt ut som sjefen.

Men han er bare én av flere som utgjør ledelsen i Conti.

Oversikten over baserer seg på en grundig jobb fra Check Point.

Den viser at Conti er satt opp som et vanlig teknologiselskap:

  • Et klassisk organisasjonshierarki, med teamledere som rapporterer oppover.
  • En egen CNBC skal flere av disse befinne seg i Russland. Moskva har selv tidligere avvist at de er delaktig i dataangrep, skriver kanalen.

    – Jeg tror det er ekstremt lite sannsynlig at du tjener millioner av dollar i Russland, uten at russiske myndigheter vet hvem du er, sier Meyers hos CrowdStrike.

    Det kan være en ren informativ relasjon, eller noe mer formelt, tror han.

    – Jeg ser uansett for meg at de vet hvem denne gjengen er, og at de har snakket med dem.

    Ansatt: – Trenger ferie

    I en melding fra juni i fjor, kan NRK lese hvordan Stern jobber med en ansettelse.

    Stern:En ny stilling har dukket opp. En prosjektleder med ansvar for å se over programvareutvikling. Må være erfaren. Være minst 30 år.

    Det kommer også fram at opptil 15–20 personer jobber med enkeltprosjekter.

    Det resulterer i vellykkede angrep.

    Conti-medlem:Fikk kryptert nettverket. Forhandler nå om første betaling.

    Conti-medlem:Det er et problem med server ****, men det løser vi.

    Ulike deler av organisasjonen har ansvar for ulike deler av operasjonen.

    Her er en oversikt:

    NRK forklarer

    Hvem har ansvaret for hva?

    Bla videre

    Kodere

    De som jobber med selve koden til skadevaren, servere og administrasjonspaneler. Kort og godt: Det som kreves for at Conti-gjengen kan gjøre sin daglige drift.

    Testere

    De som sjekker skadevaren opp mot kjente sikkerhetsløsninger, for å sikre at programvaren ikke blir oppdaget av antivirus og lignende.

    De som utfører kryptering

    Bistår med å gjøre endringer som øker sjansen for at nyttelaster, binærfiler og skript ikke blir oppdaget. Jobber ofte tett med testere.

    SysAdmins

    Dette er medlemmer som jobber med å sette opp infrastrukturen som trenges for å kunne utføre angep. De yter også støtte etter behov. Dette inkluderer alle oppgaver som typisk håndteres av en IT-avdeling.

    «Reverse engineers»

    De som studerer eksisterende skadevare-verktøy som finnes der ute. Målet er å forstå hvordan andre har løst ting, og hente inspirasjon ut fra dette.

    Offensivt team

    De som gis den første tilgangen til offerets maskin. Kalles ofte «hackere». Målet deres er å eskalere privilegier og oppnå administratortilgang, slik at de kan kryptere offerets data.

    OSINT-spesialister og forhandlingspersonale

    Når offerets data er kryptert og løsepenekrav er sendt, er det disse som går inn for å stille krav og sikre en avtale. Noen forsker på selskapet for å funne ut hva slags beløp det er realistisk å få ut. Andre gjør så forhandlingen i en chat. Atter andre håndterer publisering av offerets data (om de ikke betaler).

    Av loggene får vi også innsyn i arbeidstidene.

    En person skriver at han jobber mellom 09.30 og 16.00.

    Andre gir uttrykk for en løsning med fleksitid.

    Flere jobber kveld og helger.

    – God helg! Og god ferie, skriver en person på en fredag – glad over å få en pust i bakken.

    Men helt fri virker det til at man egentlig aldri har.

    Det er forventet at de ansatte trår til når det ligger an til et vellykket angrep.

    Flere gir uttrykk for at de er slitne, viser søk som NRK har gjort i loggene:

    Driver:Jeg ser at det kommer nye funksjoner. Det gjør meg urolig. Jeg hadde planer om å dra på ferie. Jeg trenger tid til å slappe av. Sommeren er i ferd med å ta slutt, og jeg har hatt et år uten hvile.

    Driver:Jeg vil be om at det ikke legges til nye oppgaver vedrørende funksjonaliteten de neste tre-fire ukene. Når jeg er tilbake fra ferie er jeg klar til å gjenoppta oppgavene.

    Og som i andre firmaer, hender det at ansatte må melde seg syk.

    Van:Hei. Jeg har blitt syk. Covid. Ble syk sist fredag. I morges var luktesansen helt borte. Kan ikke jobbe enda.

    Loggene inkluderer også, ifølge The Intercept, en god dose kvinnehat.

    Det er diskusjoner om seksuelt misbruk av barn. Vitser om voldtekt.

    Og antisemittiske kommentarer rettet mot Ukrainas president Volodymyr Zelenskyj.

    Driver:Hør, jeg skjønner deg ikke. Du sa på torsdag at du skulle være ferdig. Nå er det mandag kveld. Hvordan skal vi klare å jobbe med deg?