Mã nguồn của nhóm tin tặc Conti bị rò rỉ
Trang tin theregister cho biết, động thái này diễn ra chỉ vài ngày sau khi một người ẩn danh được cho là một nhà nghiên cứu người Ukraine đã làm rò rỉ nhật ký trò chuyện trong hơn một năm giữa các thành viên của Conti có liên kết với Nga. Thông qua bộ xử lý Twitter @ContiLeaks, nhà nghiên cứu người Ukraine đã công bố nội dung cuộc trò chuyện có chứa hơn 393 tệp JSON và hàng chục nghìn nhật ký và tin nhắn trò chuyện nội bộ được viết bằng tiếng Nga. Các tệp dữ liệu bị rò rỉ trong khoảng thời gian từ tháng 01/2021 đến 27/02/2022.
Conti đã đăng một bài trên blog vào ngày 25/2/2022 rằng họ đang "hỗ trợ hoàn toàn" cho cuộc tấn công của Nga vào Ukraine, kèm theo lời đe dọa rằng: "Nếu ai đó quyết định tổ chức một cuộc tấn công mạng hoặc bất kỳ hoạt động chiến tranh nào chống lại Nga, chúng tôi sẽ sử dụng tất cả các nguồn lực có thể để tấn công lại các cơ sở hạ tầng quan trọng của kẻ thù".
Trong một bài đăng trên blog mới được cập nhật, nhóm này cho biết họ không liên kết với bất kỳ chính phủ nào nhưng lặp lại lời đe dọa rằng họ sẽ "tấn công lại nếu sức khỏe và sự an toàn của các công dân bị đe dọa do hành động xâm lược mạng của Hoa Kỳ".
Thông tin rò rỉ đầu tiên của nhóm tin tặc này là tin nhắn từ gần hai chục trình trò chuyện. Dữ liệu đã được giao cho VX-Underground - một tổ chức thu thập mã nguồn, mẫu và dữ liệu phần mềm độc hại để phân tích. Đáng lưu ý, dữ liệu sau khi phân tích được công khai với mọi người dùng.
Nhà nghiên cứu bảo mật Bill Demirkapi đã dịch các cuộc trò chuyện từ tiếng Nga sang tiếng Anh. Các thông tin phân tích đã cung cấp cho các nhà nghiên cứu một cái nhìn sâu sắc về nhóm tin tặc này, bao gồm cách chúng khởi động các cuộc tấn công và tránh bị phát hiện, cách nhóm tin tặc tổ chức như một doanh nghiệp và thậm chí cả các địa chỉ bitcoin.
Ngoài ra, các thông tin rò rỉ còn bao gồm các mục như ảnh chụp màn hình của máy chủ lưu trữ và API BazarBackdoor. Mã nguồn cho trình mã hóa, giải mã và mã độc tống tiền của Conti được chứa trong một kho lưu trữ được bảo vệ bằng mật khẩu. Một nhà nghiên cứu khác cho biết đã nhanh chóng bẻ khóa mật khẩu và đột nhập vào kho lưu trữ, cấp công khai quyền truy cập vào mã nguồn tệp được quản lý chặt chẽ của Conti.
Được biết, Conti không chỉ phát động các cuộc tấn công mã độc tống tiền của riêng mình mà còn cho phép các tác nhân đe dọa khác sử dụng công nghệ của họ để khởi động các cuộc tấn công riêng biệt. Công ty an ninh mạng McAfee (Mỹ) trong một báo cáo năm 2021 đã nhấn mạnh sự gia tăng của các chiến dịch RaaS, với ít cuộc tấn công mã độc tống tiền hơn nhưng cho phép các nhóm tin tặc thực hiện các cuộc tấn công lớn hơn và yêu cầu thanh toán cao hơn.
Conti đã đứng sau một loạt các cuộc tấn công mã độc tống tiền, nhiều cuộc tấn công tập trung vào cơ sở hạ tầng quan trọng như các cơ sở và tổ chức chăm sóc sức khỏe. Vào tháng 5/2021, nhóm này đã đánh sập dịch vụ chăm sóc sức khỏe quốc gia của Ireland, một tổn thất được dự đoán sẽ khiến chính phủ này tiêu tốn hơn 100 triệu đô la để phục hồi. Bên cạnh đó, Conti cũng đã tấn công các doanh nghiệp lớn như Shutterfly và Fat Face.
Cũng vào tháng 5/2021, FBI đã đưa ra một thông báo cho các doanh nghiệp Hoa Kỳ cảnh báo về các cuộc tấn công của nhóm tin tặc Conti vào các mạng chăm sóc sức khỏe và ghi nhận có ít nhất 16 cuộc tấn công trong khoảng thời gian 12 tháng với số tiền chuộc lên tới 25 triệu USD.
Cuộc chiến tranh giữa Nga và Ukraine cũng khiến các nhóm tin tặc phải lựa chọn lập trường của mình. Trong đó, Anonymous dẫn đầu danh sách nhóm tin tặc đứng về phía Ukraine (được cho là đã tấn công các tổ chức chính phủ Nga) và Conti đứng đầu trong số những nhóm ủng hộ Nga.
Quốc Trường