'Neka umru': Kako su poruke razotkrile mračni svijet hakerske bande

Express/AI
Procurjele interne poruke otkrile su kako je Conti, jedna od najmoćnijih ransomware skupina, birala mete, ucjenjivala bolnice i raspala se nakon ruske invazije na Ukrajinu
Vidi originalni članak

Godinama su djelovali iz sjene, zaključavali računalne sustave bolnica, gradskih uprava i velikih kompanija te od žrtava zahtijevali milijunske otkupnine. Conti je bio jedna od najvećih i najuspješnijih ransomware skupina na svijetu, dobro organizirana kriminalna mreža koja je nalikovala međunarodnoj tehnološkoj kompaniji - sa šefovima, programerima, pregovaračima, odjelima za ljudske resurse i stotinama suradnika. A onda se početkom 2022. sve raspalo.

Nakon ruske invazije na Ukrajinu unutar bande izbile su političke i osobne podjele, a jedan od članova odlučio je otvoriti njezine digitalne trezore. Na internet je objavljeno više od 300.000 internih poruka, dokumenata i zapisa iz komunikacije članova skupine. Svijet je tako prvi put dobio gotovo potpun uvid u svakodnevicu elitnog kibernetičkog kriminala - od odabira žrtava i pregovora o otkupninama do svađa, tračeva, strahova i rasprava o tome treba li napadati bolnice.

Poruke pokazuju da iza sofisticiranih napada nisu stajali bezlični računalni geniji, nego ljudi s nadimcima, ambicijama, nesigurnostima i brutalnim smislom za humor. Neki su govorili o milijunima dolara gotovo kao o sitnišu, dok su drugi raspravljali o tome hoće li zbog njihovih napada umirati pacijenti, piše BBC.

Kada je stigla vijest da je Rusija napala Ukrajinu, komunikacijski kanali Contija iznenada su oživjeli. Poruke su stizale jedna za drugom.

"Jeste li vidjeli?"

"Kakva noćna mora na prvoj crti"

"Je li ovo rat?"

Jedan od članova u grupnom je razgovoru upitao: "Prijatelji, braćo, ima li među nama Ukrajinaca osim mene?"

Conti je imao pretežno ruske članove, ali je suradnike okupljao diljem svijeta. Mnogi od njih nisu znali prava imena ni identitete ljudi s kojima su svakodnevno surađivali. Komunicirali su preko šifriranih kanala, koristili nadimke i bili raspoređeni u različite dijelove složene kriminalne organizacije. Njihov poslovni model bio je jednostavan i iznimno unosan. Hakeri bi provalili u informatičke sustave organizacije, ukrali podatke, zaključali ih šifriranjem i potom zatražili otkupninu za njihovo vraćanje. Ako žrtva ne bi platila, prijetili su objavom povjerljivih informacija. Procjenjuje se da je samo tijekom 2021. Conti od žrtava izvukao oko 180 milijuna dolara.

SLOBODAN MEDIĆ Tko je šef srpskih Škorpiona? 'Jesi ikad spavao sa ženom? E, sad ni nećeš'

Napadali su sve - od lokalnih vlasti i malih kompanija do bolnica i međunarodnih korporacija. Među njihovim metama našli su se općinsko vijeće Redcara i Clevelanda na sjeveroistoku Engleske, irski zdravstveni sustav te luksuzni draguljar Graff, čiji su klijenti bili neki od najbogatijih i najpoznatijih ljudi na svijetu. No rat u Ukrajini učinio je ono što policijske agencije godinama nisu uspijevale: razbio je privid unutarnjeg jedinstva bande.

Dan nakon početka ruske invazije na Ukrajinu na Contijevoj stranici na dark webu objavljena je poruka potpore Moskvi. Skupina je zaprijetila da će svim svojim resursima odgovoriti na svaki kibernetički napad usmjeren protiv Rusije. Bila je to politička izjava kakvu kriminalne skupine obično izbjegavaju. Conti je dotad svoje djelovanje predstavljao kao posao koji nema veze s državama, ideologijom ili ratovima. Novac je bio jedina službena lojalnost. Poruka je nakon samo nekoliko sati uklonjena i zamijenjena blažom izjavom.

- Ne svrstavamo se ni uz jednu vladu i osuđujemo rat koji je u tijeku, objavila je skupina.

No bilo je prekasno. Dva dana nakon prve izjave, očito nezadovoljan član bande objavio je golemu količinu njihove interne komunikacije. Više od 300.000 poruka odjednom je postalo javno dostupno istraživačima, novinarima, policiji i konkurentskim hakerskim skupinama. Za Joea Wriedena, voditelja obavještajnih poslova o kibernetičkim prijetnjama u britanskoj sigurnosnoj tvrtki Cyjax, bio je to dan koji se u svijetu kibernetičke sigurnosti rijetko događa. Na Twitteru se pojavio anonimni profil koji je objavio poruku upućenu članovima Contija: "Znamo sve o tebi, Conti. Ne možeš vjerovati ni vlastitoj djevojci".

CARSTVO KORUPCIJE Pokrali su svoju vojsku, opljačkali su Ukrajinu, a onda su ostali bez plijena

- Napokon smo dobili gotovo potpun uvid u ono što se godinama događalo unutar jedne od najvažnijih ransomware skupina na svijetu - rekao je Wrieden.

Curenje podataka nije otkrilo samo tehničke detalje njihovih napada. Pokazalo je i unutarnju strukturu bande, sukobe među članovima, njihove financijske dogovore, nezadovoljstvo plaćama, međusobne prijetnje i rasprave o tome gdje završava kriminalni posao, a počinje bezobzirno ugrožavanje ljudskih života.

Jedan od najrazornijih napada Contija dogodio se u svibnju 2021., usred pandemije bolesti COVID-19, kada je skupina pogodila irsku zdravstvenu službu HSE. Onkolog Seamus O’Reilly obavljao je uobičajeni jutarnji obilazak u bolnici Cork University kada su se računalni zasloni iznenada ugasili. Nije mogao pristupiti medicinskoj dokumentaciji, povijesti bolesti pacijenata ni sustavima za komunikaciju. U bolnicama koje su se još borile s posljedicama pandemije zavladao je digitalni mrak.

- Nisam imao mogućnost komunicirati. Nisam mogao pristupiti povijesnim podacima o pacijentima. Da budem brutalno iskren, jedini put kada sam se slomio tijekom pandemije bio je nakon tog kibernetičkog napada - prisjetio se.

Napad je pogodio gotovo sve bolnice i zdravstvene ustanove u Irskoj. Tisuće pregleda i medicinskih postupaka morale su biti odgođene, osoblje se vratilo papiru i olovci, a pojedini su sustavi ostali nedostupni tjednima. Conti je, prema dostupnim informacijama, za ponovno uspostavljanje pristupa tražio oko 20 milijuna dolara. Strah nije bio neopravdan. U trenutku kada liječnici ne mogu pristupiti podacima o pacijentima, laboratorijskim nalazima ili terminima liječenja, posljedice se više ne mjere samo u novcu.

"Neka plate milijune. Neka umru"

U procurjelim porukama pitanje napada na bolnice pojavljuje se više puta. Razgovori pokazuju da među članovima Contija nije postojao jedinstven stav o tome treba li zdravstvene ustanove smatrati zabranjenim metama. Jedan član skupine, poznat pod nadimkom Target, posebno je zagovarao napade na bolnice.

"Neka plate milijune. Neka umru", napisao je približno godinu dana prije napada na irski zdravstveni sustav.

Planirao je pogoditi stotine bolnica diljem Sjedinjenih Država.

"Nastat će panika", napisao je.

Nedugo zatim dodao je: "Prokletstvo, umirem od smijeha".

No, Target je bio samo jedan član bande. Objašnjavajući pravila novom regrutu, jedan član je rekao da ne smiju napadati "medicinski sektor" ili "rodilišta". Iako se napad na HSE izričito ne spominje, udar na bolnice tijekom globalne zdravstvene krize bio je predmet rasprave. U jednom trenutku, član tima pitao je osnivača Contija, Sterna, je li odobrio kriptiranje jedne bolnice.

"Ako nisi odobrio, predat ću toj klinici dekriptor. Dogovorili smo se da ne diramo medicinski sektor, sjećaš se?"

MISTERIJ NESTANKA Otet na jahti! Ljubavnica namamila biznismena na brod, u noći upao Putinov FSB

Čini se da je upravo takva unutarnja rasprava utjecala i na slučaj u Irskoj. Otprilike tjedan dana nakon napada Conti je besplatno predao ključ za dešifriranje podataka. To, međutim, nije značilo da je kriza završila. Obnova računalnih sustava trajala je mjesecima, a posljedice su se osjećale mnogo dulje. Povjerljivi podaci bili su ugroženi, medicinski postupci odgađani, a zdravstveni radnici prisiljeni raditi u uvjetima kakvi su podsjećali na vrijeme prije digitalizacije.

Procurjele poruke otkrile su i kako su članovi bande reagirali kada bi u ukradenim podacima pronašli imena poznatih i moćnih ljudi. U listopadu 2021. Conti je napao međunarodnog draguljara Graff, jednu od najpoznatijih luksuznih kuća na svijetu. Banda je ukrala podatke o brojnim klijentima i dio ih objavila na dark webu. Među dokumentima su se navodno nalazile informacije povezane s Donaldom Trumpom, Davidom Beckhamom, Oprah Winfrey, Frankom Lampardom te članovima više kraljevskih obitelji iz zaljevskih država. U internim razgovorima članovi bande pretresali su podatke koje su pronašli. Raspravljali su o povijesti kupnji, adresama, kreditnim karticama i luksuznim predmetima koje su naručivali njihovi slavni klijenti. U jednom trenutku čak su se šalili da znaju i „boju njihova donjeg rublja“.

Conti je, naime, objavio podatke prije nego što su ih članovi detaljno pregledali. Među njima su se našle i informacije o kupnjama koje su navodno obavili visokopozicionirani članovi saudijske kraljevske obitelji. Odjednom se pokazalo da nisu sve žrtve jednako sigurne mete.

"Pronaći će te i to je to. Nema te više", upozorio je jedan član.

"Vladajuće obitelji su prijatelji", dodao je drugi.

Banda koja je bez mnogo oklijevanja napadala bolnice, gradske uprave i kompanije počela je paničariti čim je procijenila da bi joj se mogla zamjeriti jednoj od najmoćnijih obitelji na Bliskom istoku. U izrazito neobičnom potezu za ransomware skupinu, Conti je javno objavio ispriku.

"Sve informacije koje se odnose na članove obitelji Saudijske Arabije, Ujedinjenih Arapskih Emirata i Katara bit će izbrisane bez ikakvog izlaganja i pregleda", naveli su.

TAJNI AGENT Valter i Stefan: Ekskluziv iz ruskih arhiva o špijunu koji je trebao ‘ubiti’ Tita!

Taj je slučaj razotkrio nepisanu hijerarhiju među žrtvama. Obične kompanije, lokalne uprave i bolnice mogle su biti ucjenjivane bez milosti. No kada bi na drugoj strani stajao netko dovoljno bogat, politički moćan ili opasan, hakeri bi odjednom počeli razmišljati o posljedicama.

Poruke su pokazale da Conti nije bio tek labava skupina hakera koji povremeno surađuju. Organizacija je funkcionirala poput velike kompanije. Imala je vođe, programere, osobe zadužene za pronalaženje meta, pregovarače koji su razgovarali sa žrtvama, tehničku podršku i menadžere koji su raspoređivali zadatke. Članovi su se žalili na plaće, radno vrijeme i način raspodjele novca. Neki su tražili povišice. Drugi su se ljutili jer nisu dobili obećani udio od otkupnine. Vodstvo je pokušavalo održati disciplinu, kažnjavati neposlušne članove i spriječiti odlazak talentiranih hakera konkurenciji. Iza prijeteće slike svemoćne cybermafije nalazila se organizacija opterećena istim problemima kao i mnoge legalne tvrtke - nezadovoljnim zaposlenicima, lošom komunikacijom, rivalstvima, korupcijom i sukobima između uprave i radnika.

Iako se činilo da Contiju dobro ide krajem 2021., curenje podataka označilo je početak kraja. Skupina se službeno raspala u svibnju 2022., no njezini su članovi nastavili djelovati kroz nove ili postojeće ransomware operacije. Vlasti su im ušle u trag. Njemačka policija identificirala je vođu, Sterna, kao ruskog državljanina Vitalija Nikolajeviča Kovaljeva.

Iako su poruke pokazivale da hakeri brzo prelaze na nove mete, njihove žrtve ostale su skupljati krhotine. Međunarodne policijske agencije nastavile su progon članova. Američka vlada nudi nagradu do 15 milijuna dolara za informacije koje bi dovele do identifikacije vođa skupine. U lipnju 2026. ukrajinski državljanin Oleksii Oleksiyovych Lytvynenko priznao je krivnju za udruživanje radi počinjenja elektroničke prijevare, a presuda mu je zakazana za rujan te godine. Prijeti mu kazna do 20 godina zatvora.

Posjeti Express