信息化觀察網(wǎng)

本文來自鳳凰網(wǎng)科技（tech.ifeng.com），作者/簫雨。

鳳凰網(wǎng)科技訊北京時(shí)間4月14日消息，2021年，俄羅斯組織Conti被美國聯(lián)邦調(diào)查局(FBI)列為了最猖獗的勒索軟件組織之一。不過現(xiàn)在，一系列內(nèi)部文件的泄露可能讓它明白了作為網(wǎng)絡(luò)間諜活動(dòng)受害者的感受。

這些泄露的文件揭示了Conti的組織規(guī)模、領(lǐng)導(dǎo)層和業(yè)務(wù)運(yùn)作的細(xì)節(jié)，以及被認(rèn)為是該組織最珍貴的資產(chǎn)：勒索軟件源代碼。文件之所被泄露，可能是因?yàn)镃onti支持俄羅斯的立場遭到報(bào)復(fù)。

威脅情報(bào)公司Cyberint安全研究員薩繆爾基恩(Shmuel Gihon)表示，Conti在2020年出現(xiàn)，并成長為世界上最大的勒索軟件組織之一。據(jù)他估計(jì)，該組織大約有350名成員，他們?cè)诙潭虄赡陜?nèi)共賺取了約27億美元(約合172億元)的加密貨幣。

FBI在其《2021年互聯(lián)網(wǎng)犯罪報(bào)告》中警告稱，Conti的勒索軟件是去年鎖定美國關(guān)鍵基礎(chǔ)設(shè)施的“三大變體”之一。FBI表示，Conti“最經(jīng)常攻擊的對(duì)象是關(guān)鍵制造業(yè)、商業(yè)設(shè)施、食品和農(nóng)業(yè)部門”。

“目前為止，它們是最成功的組織。”基恩稱。

就像普通科技公司

Conti完全隱匿，不像黑客組織“匿名者”(Anonymous)那樣有時(shí)對(duì)新聞媒體發(fā)表評(píng)論。但Cyberint、Check Point和其他分析了泄露信息的網(wǎng)絡(luò)安全機(jī)構(gòu)表示，這些信息顯示Conti的運(yùn)營和組織方式就像是一家普通科技公司。

軟件技術(shù)公司Check Point威脅情報(bào)部門負(fù)責(zé)人洛特姆芬克爾斯坦(Lotem Finkelstein)指出，在翻譯了許多用俄語撰寫的信息后，其情報(bào)部門Check Point Research認(rèn)定Conti具備了明確的管理、財(cái)務(wù)和人力資源職能，以及典型的團(tuán)隊(duì)負(fù)責(zé)人向高級(jí)管理層匯報(bào)的組織層級(jí)結(jié)構(gòu)。根據(jù)Cyberint的調(diào)查結(jié)果，有證據(jù)顯示Conti還有研發(fā)、業(yè)務(wù)開發(fā)部門。

Conti的組織結(jié)構(gòu)

芬克爾斯坦稱，泄露的信息顯示Conti在俄羅斯設(shè)有辦公室，可能與俄羅斯政府有聯(lián)系。“我們…我們的假定是，如果沒有得到俄羅斯情報(bào)機(jī)構(gòu)的全面批準(zhǔn)，甚至是一些合作，這樣一個(gè)擁有實(shí)體辦公室和巨額收入的龐大組織是無法在俄羅斯開展活動(dòng)的。”他表示。俄羅斯此前否認(rèn)參與網(wǎng)絡(luò)攻擊。

評(píng)選月度最佳員工

Check Point Research還發(fā)現(xiàn)，Conti擁有這么幾類員工：

受薪員工：其中一些人是用比特幣支付薪水，外加績效考核和培訓(xùn)機(jī)會(huì)；

談判代表：從支付的贖金中收取0.5%到1%的傭金；

員工推薦計(jì)劃：如果員工可以招募到其他人并且讓其工作至少一個(gè)月，他們就能獲得獎(jiǎng)金；

月度最佳員工：可以獲得相當(dāng)于一半工資的獎(jiǎng)金。

Check Point Research的研究顯示，與那些正大光明的公司不同的是，Conti會(huì)對(duì)表現(xiàn)不佳的員工進(jìn)行罰款。

員工表現(xiàn)不佳會(huì)被罰款

員工的真實(shí)身份也會(huì)被用戶名所隱藏，比如“大老板”斯特恩(Stern)、“技術(shù)經(jīng)理”布扎(Buza)和“斯特恩的合作伙伴和實(shí)際的辦公室運(yùn)營主管”塔吉特(Target)。

“當(dāng)與員工溝通時(shí)，Conti高層往往會(huì)說，為Conti工作終生受益，可以獲得高工資、有趣的任務(wù)、職業(yè)成長。”Check Point Research表示。

然而，一些泄露的信息卻描繪了一幅不同的畫面。例如，如果員工在三小時(shí)內(nèi)以及在周末和節(jié)假日工作時(shí)間沒有及時(shí)回復(fù)郵件，他們就會(huì)受到被解雇的威脅。

招聘流程

芬克爾斯坦說，Conti既通過俄羅斯獵頭服務(wù)機(jī)構(gòu)等合法渠道，也通過地下犯罪組織進(jìn)行招聘。

《華盛頓郵報(bào)》前記者布萊恩克雷布斯(Brian Krebs)在他的網(wǎng)絡(luò)安全網(wǎng)站KrebsOnSecurity上寫道，招聘很重要，因?yàn)?ldquo;Conti低級(jí)別員工的流動(dòng)率、人員流失率和工作倦怠率都相當(dāng)高，這或許并不令人意外”。

Check Point Research稱，Conti招聘的一些員工甚至不是計(jì)算機(jī)專家，它曾雇人在呼叫中心工作。FBI已表示，“技術(shù)支持欺詐”呈上升趨勢，詐騙者冒充知名公司，提出解決電腦問題或取消訂閱費(fèi)。

有些員工蒙在鼓里

“令人震驚的是，我們有證據(jù)表明，并非所有員工都充分意識(shí)到自己是網(wǎng)絡(luò)犯罪集團(tuán)的一員，”芬克爾斯坦表示，“這些員工以為自己在為一家廣告公司工作，而實(shí)際上他們是在為一個(gè)臭名昭著的勒索軟件組織工作。”

泄露的信息顯示，Conti經(jīng)理就公司的情況對(duì)求職者撒了謊。其中一個(gè)經(jīng)理對(duì)求職者說：“這里一切都是匿名的，公司的主要方向是為滲透測試者提供軟件”。滲透測試者是合法的網(wǎng)絡(luò)安全專家，他們模擬針對(duì)自己公司計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊。

“大老板”斯特恩在一系列信息中解釋稱，該組織讓程序員從事一個(gè)模塊或部分軟件，而不是整個(gè)項(xiàng)目，從而讓他們蒙在鼓里。斯特恩稱，如果員工最終發(fā)現(xiàn)了真相，他們就會(huì)提出加薪以留住員工。

已經(jīng)倒閉了？

根據(jù)Check Point Research的研究，甚至在信息泄露前，Conti就表現(xiàn)出了運(yùn)營困難的跡象。這些信息顯示，斯特恩在1月中旬左右陷入沉默，工資也停止發(fā)放。

就在Conti信息被泄露的幾天前，一條內(nèi)部消息稱：“到處都是泄密，有人被逮捕……沒有老板，沒有澄清……也沒有錢……我不得不要求你們所有人休假2-3個(gè)月。”

Check Point Research稱，盡管Conti已舉步維艱，但它很可能會(huì)東山再起。與前競爭對(duì)手REvil不同的是，Conti仍在“部分”運(yùn)營。

Conti經(jīng)受住了其他挫折，包括其使用的惡意軟件“惡作劇機(jī)器人”(Trickbot)被暫時(shí)禁用，以及在2021年幾名疑似“惡作劇機(jī)器人”開發(fā)者被逮捕。

盡管打擊勒索軟件組織的努力正在持續(xù)進(jìn)行，但FBI預(yù)計(jì)，關(guān)鍵基礎(chǔ)設(shè)施面臨的攻擊將在2022年增加。