Chatlogs, Conti og Cyberkrig

Om cyberkrigen mod Rusland.


Det er ingen hemmelighed, at enhver statsmagt med respekt for sig selv forsøger at engagere IT-specialister, i dette tilfælde populært kaldet hackere. Uden at gå dybere ind i formålet, er deres opgave primært at foretage offensive cyberaktioner mod udvalgte mål. Det kan være fremmede regeringer, virksomheder, organisationer, privatpersoner og så videre. Det er der som sådan ikke noget videre odiøst i, for spionage er blevet foretaget i umindelige tider.


Det der dog normalt adskiller de russiske cyberaktiviteter fra for eksempel de amerikanske, det er at de russiske hackergrupper har mere eller mindre carte blanche til at udføre aktioner med såkaldt ransomware. Altså software, der er i stand til at tage offerets data som gidsel, indtil en løsesum er betalt. Det er statssponsorerede gidseltagninger, dog ikke med personer, men med værdifuld data, adgange til kritiske systemer, kommunikation etc.


Tidligere har ransomware og malware udviklet af Rusland gjort stor skade på internationale virksomheder, herunder Mærsk som flere gange er blevet alvorligt ramt. Ofte har disse malware-angreb været målrettet Ukraine, men fordi internettet er en global platform har de lynhurtigt spredt sig ud af kontrol.


Modsat konventionel krig, hvor forsvaret besidder langt de fleste fordele, så er sagen helt omvendt i cyberkrig. Det er er markant nemmere at angribe end at forsvare sig. Et eksempel er, at helt almindelige mennesker kan påføre så stort et pres på en server, blot ved at hamre på F5 og på hjemmesiden til at opdatere sig så ofte, at serveren ikke kan levere service til normale besøgende. Dette gøres selvfølgelig nemmest via bots og inficerede computere over hele verden, og kaldes traditionelt et DDoS angreb; Distributed Denial of Service. Kort sagt betyder alle de 'falske' henvendelser til serveren, at den ikke kan servicere de rigtige henvendelser.


2020 blev verden bekendt med en ransomware ved navn CONTI, udviklet af en russisk cyberdivision i Skt. Petersburg, Wizard Spider. Som altid kan disse typer ikke finde på ordentlige navne til deres grupperinger, men det er anden snak. Det vurderes at Conti har inficeret samtlige af verdens private computere der benytter Windows fra før 2020. Da Rusland invaderede Ukraine, blev denne berygtede gruppe bedt om at gå i offensiven mod ukrainsk infrastruktur. Det var ikke overraskende. Det var som sådan heller ikke overraskende, at én eller flere fra gruppen, var uenige i Kremls beslutning om at overfalde Ukraine.


Gruppen består hovedsageligt af unge mennesker, op mod 100 styks, og siden de er i stand til at begå omfattende kriminalitet online, antager jeg, at de også er i stand til selvstændigt at hente information online. Uanset hvad motivet måtte være, så blev store mængder data fra Wizard Spider lækket. Ikke blot afslørende chatlogs der kortlægger deres arbejde og relationer til de russiske myndigheder og andre hackergrupper, men også kildekoden til Conti. Gruppens Gyldne Æg.


Hackere, eller hacktivister, som flere af dem gerne vil tituleres (bevares), inddeler traditionelt sig selv i tre overordnede grupperinger; Black Hat, Red Hat og White Hat. Den sorte hat, er en hacker med udelukkende skumle og/eller kriminelle formål. Den røde hat, er en hacker som er neutral, og som kun agerer hvis 'balancen' mellem det gode og det onde (yes) bliver brudt. Den hvide hat, er en hacker som til eksempel arbejder for sikkerhedsfirmaer eller på egen hånd bekæmper de sorte hatte. Jeg mindes at denne definition af de tre typer i øvrigt er nappet fra fantasy-litteratur skrevet i firserne.


Da krigen brød ud, valgte mange red hats og white hats, at kaste sig ind i kampen på Ukraines side. Herunder bevægelsen Anonymous, som der er nogen der griner af, mens andre godt ved, hvad sådan en global bevægelse af dygtige hackere er i stand til. Anonymous er ikke en gruppe. Det er en bevægelse, som sættes i aktion via fora på de dybere dele af internettet. Urimeligheder og uretfærdigheder diskuteres mellem forskellige hackergrupperinger og hvis der opnås enighed iværksættes operationer under et fælles hashtag. Herefter kan alle der har lyst og evner, sådan set byde ind.


Og det var der ret mange der gjorde, da de russiske kampvogne rullede over grænsen. Da kildekoden til Conti kom i hænderne på én særlig gruppe af red hats, blev den modificeret og sendt retur til Rusland. I et format der dels opsamler tilgængeligt data, dels krypterer offerets data og dels kan give angriberen mulighed for at slette kritisk data. På nuværende tidspunkt har det resulteret i hundredevis af store hacks på alt fra private virksomheder, store banker, statslige og lokale myndigheder, militære installationer, infrastruktur og meget andet. Det er sgu' taget direkte ud af militære lærebøger, sådan at bruge fjendens bedste kneb mod ham selv.


Til eksempel er en lang række produktionsvirksomheder blevet ramt. Her er adgangen til deres styring af produktionen afskåret og helt basale ting som lønudbetalingssystemer, oversigter over kunder og leverandører, procesoversigter etc. blevet enten slettet, låst og/eller frigivet på nettet til alle konkurrenternes fornøjelse og snagen. Se for eksempel her, hvad blot en enkelt erfaren hacker fik fat i: https://github.com/depaix/anonleaks

Tusindvis af gigabyte af både ligegyldig, interessant, og absolut kritisk data er blevet lækket og slettet. De russiske virksomheder har i vid udstrækning, nøjagtigt ligesom mange virksomheder i vesten, ikke været forberedt på så omfattende angreb


Andre eksempler er ødelagt styring af brandslukningssystemer, overtagelse af overvågningskameraer (hehe), momentær nedlukning af togdrift, overtagelse og efterfølgende sletning af propagandahjemmesider og statslige hjemmesider.


Fra starten af marts til i hvert fald starten af maj var Rusland det land i verden der var under de hårdeste cyberangreb:


Det er, udover hackere fra den gamle garde, især en gruppe ved navn Network Battalion 65 [NB65] der slår hårdt. Gruppen arbejder med den reviderede udgave af Conti, og en meget farverig pallette af andre kraftfulde stykker software. Denne gruppe lykkedes med blandt andet at hacke nogle af de største internet service udbydere i Rusland, der håndterer systemerne for store militære myndigheder, statslige energiselskaber, IT-management firmaer etc. Herunder også QIWI, som er et gigantisk online betalingssystem som fik samtlige deres kunders data kompromitteret, herunder alle transaktioner og millioner af kreditkortoplysninger. Disse er nu frit tilgængelige på både Clean, Deep og Dark Web.


NB65 har tvunget sig så dyb adgang ind i diverse systemer, at de kontrollerer brugerniveauet. Det betyder, at de som en anden administrator, kontrollerer hvem der har adgang til hvad, og de kan se alle brugeres detaljer. Dette er brugbart i forhold til at kaste grus i maskineriet, for enhver virksomhed som mister adgang til deres online data vil opleve en eller anden form for nedsat aktivitet. Når det så er centrale serviceudbydere der bliver ramt, så spreder problemet sig lynhurtigt. Her blot til eksempel fra firmaet Multi-Sys[.]ru der håndterer nogle af de rigtig tunge kunder:


Stopper cyberkrigen mod Rusland deres krig i Ukraine? Nej, selvfølgelig ikke. Men den er en central del af den generelle modstand mod det russiske regime. Når en stor krigsmaskine skal stoppes, så skal der kastes grus i maskineriet hvor end det er muligt. Danske frihedskæmpere under besættelsen havde mildt sagt ikke den store indflydelse på udfaldet af 2. verdenskrig. Der var for eksempel Slaget om Stalingrad noget mere afgørende, det må vi nok indse.


Men de danske og europæiske frihedskæmpere, og deres sabotage af tyske forsyningsruter, ødelæggelse af Gestapo-arkiver, indsamling af efterretninger, undsætning af forfulgte jøder osv. har reddet mange menneskeliv på den allierede side. Og det er det samme her. Alle disse angreb på russiske virksomheder, administrative myndigheder og diverse infrastruktur er med til at besværligøre livet og dermed i sidste ende krigsindsatsen. Der skal mange underleverandører til at levere dele til en kampvogn.


Det er i den grad også med at til tydeligøre overfor den enkelte russiske statsborger, hvad det i virkeligheden er, der foregår i Ukraine. Populære hjemmesider bliver defaced med billeder og information omkring invasionen, og folk der har fået lækket deres emails og telefonnumre modtager automatiske beskeder og billeder direkte fra krigen. Information, de ellers ikke ville modtage. For eksempel da den russiske version af YouTube, RuTube (yes...), blev lagt online. Det tog ikke lang tid, før hackere lagde den i graven, og i samme ombæring slettede hele kildekoden. Farvel.


Der udkæmpes en stor krig online i disse dage, og Rusland er stadig tvunget i defensiven. Jeg ved, at dette indlæg er lidt udover mine egne kompetencer, men ikke desto mindre er cyberkrigen en central front der skal udkæmpes og derfor relevant at inkludere her. Hvis du har indgående viden herom, hører jeg meget gerne nærmere via opdksec@protonmail.com så jeg kan opdatere/udvide dette indlæg eller eventuelt bringe dit eget bidrag på siden.


Jeg har også links til samtlige hacks og data, såfremt der er nogle der er interesserede i den slags, men du kan starte med at tage et kig på de mest interessante her: https://ddosecrets.com/wiki/Category:Russia