Rusya’nın Ukrayna’yı işgali beşinci gününe girerken, ABD ve Avrupa liderliğindeki bir koalisyon, mali yaptırımlara ve giderek artan bir şekilde askeri yardıma odaklanan koordineli bir tepki başlattı. Çatışmanın ölçeği ve yoğunluğu büyürken, Rusya ve Ukrayna’da aktif olan fidye yazılımı grupları da dahil olmak üzere, ordu ve hükümet aygıtının çok ötesindeki kuruluşlar devreye giriyor.
Bu çekim kuvveti, bilgisayar korsanları ile Rus istihbarat servisleri arasındaki sınırların bazen geçirgen olduğu ve özellikle bir grubun Putin rejimine olan bağlılığının bedelini ödemeye zorlandığı Rusya’da özellikle yoğun.
Cuma günü, kötü şöhretli fidye yazılımı çetesi Conti, Putin’in askeri gündemine açıkça payını koyarak birçok gözlemciyi şaşırttı. “tam destek” ilan etti Rus hükümeti için ve Rusya’ya karşı siber saldırılar başlatan herhangi bir düşmanın kritik altyapısına saldırı düzenleme tehdidinde bulundu.
İki gün sonra, 27 Şubat’ta, Conti’nin tavrı, anonim bir kişi kuruluştan bir sohbet günlüğü önbelleğini sızdırdığında, fidye yazılımı grubunun dahili çalışmaları hakkında daha önce yayınlanmamış çok sayıda bilgiyi açığa çıkardığında olağanüstü bir şekilde geri tepti.
Sızdırılan veriler, açık kaynaklı anlık mesajlaşma hizmeti Jabber’ın bir yıldan fazla süren sohbet günlüklerini içeriyor. 20 sohbet tutamacı çete üyelerine ait olduğu tahmin ediliyor. Diğer şeylerin yanı sıra, bu günlükler Conti’yi Rus istihbarat teşkilatlarına bağlayan bir komuta zincirini doğruluyor gibi görünüyor. Açık kaynaklı istihbarat araştırma grubu Bellingcat’in yönetici direktörü Christo Grozev’e göre, sohbet günlükleri Conti üyelerinin Bellingcat katkıda bulunan birini hacklemeye çalıştı Rusya’nın ana iç güvenlik servisi FSB’nin emriyle.
Rusya geçmişte siber suçlu grupları barındırdığı için geniş çapta eleştirilmişti ve bazı istisnalar dışında – özellikle REvil hacker grubunun FSB tarafından Ocak ayında kamuya açıklanması – yerel hedeflere saldırmaktan kaçınmaları koşuluyla büyük ölçüde cezasız kalmasına izin veriliyor. Ancak Rus hükümetine yakınlık geçmişte siber suçlular için bir avantaj olsa da, Ukrayna işgalinin dinamiklerinin onu bir yükümlülük haline getirdiğine dair bazı işaretler var.
Sızdıran kişinin kimliği açıklanmamasına rağmen, siber güvenlik şirketi Hold Security’nin Ukrayna doğumlu kurucusu Alex Holden, günlüklerin Conti çetesine sızmayı başaran Ukraynalı bir güvenlik araştırmacısı tarafından sızdırıldığını söyledi.
Holden, “Bu, Rus işgalini destekleyen siber suçlulara karşı savaşının bir parçası olarak bunu yapan meşru bir siber güvenlik araştırmacısı olan bir Ukrayna vatandaşı” dedi. Holden, sızdıran kişinin kimliğinin daha fazla ayrıntısının güvenliğini riske atmadan ifşa edilemeyeceğini söyledi.
Kayıt ayrıca raporlar sohbet günlüklerinin Conti çetesine yapılan ödemelerin alındığı Bitcoin adreslerini ve Conti ile bir fidye yazılımı olayı ifşa etmeyen şirketler arasındaki görüşmeleri detaylandıran mesajları içerdiğini.
Günlüklerin bir versiyonunu yayınlayan bir güvenlik araştırmacısı olan Bill Demirkapı İngilizce’ye çevrildi Google aracılığıyla, onaylandı Sınır günlüklerin Conti’nin teknik altyapısının ayrıntılarını, lojistik operasyonlarını, sıfırıncı gün güvenlik açıklarıyla ilgili tartışmaları ve dahili araçlarla ilgili ayrıntıları içerdiğini. Günlüklerin yayınlanmasından bu yana geçen kısa zaman çizelgesi göz önüne alındığında, Demirkapı, grup üzerindeki uzun vadeli etkisini değerlendirmenin zor olduğunu söyledi.
Sophos’taki baş araştırma bilimcisi Chester Wisniewski, en üretken fidye yazılım gruplarının çoğunun Rusya ile uyumlu olduğu düşünülse de, pratikte bunların birçoğunun ulusötesi varlıklar olduğunu ve çeşitli etnik köken ve milliyetleri içerdiğini söyledi. Uluslararası kamuoyu ezici bir çoğunlukla Ukrayna’yı tercih ederken, birçoğu Rus işgaline destek beyan etmek yerine çatışmadan uzaklaşmaya karar vermiş olabilir.
“Aslında tüm dünya Rusya’ya karşı gibi görünen bu çatışmanın kutuplaştırıcı doğası, çok daha az çatışma olduğu anlamına geliyor. [cybercriminal] Wisniewski, “Beklediğimizden daha fazla aktivite” dedi. “Bence bu farklı grupların üyeleri arasında Ukrayna için çok fazla sempati var ve sonuç olarak onlar bunu oturtuyorlar.”
Başka bir fidye yazılımı grubu olan ve Conti’ye etkili bir rakip olan LockBit, Pazar günü grubun Batı altyapısını hedef almayacak, sözde organizasyonun uluslararası yapısı nedeniyle. Açıklamada, Ukrayna’ya herhangi bir destek vermek yerine, çatışmada tarafsızlık ilan edildi.
LockBit tarafından yayınlanan mesajda, “Bizim için bu sadece bir iş ve hepimiz apolitikiz” dedi.
Fidye yazılımı çeteleri (Conti hariç) taraf seçmekte isteksiz olsa da, tanımı gereği politik olan bazı hacktivist gruplar davaya katılmak için acele etti. Belarus’ta faaliyet gösteren bir hacktivist grup, askeri birliklerin hareketini bozduğu iddia edildi Belarus hükümetinin Ukrayna’ya füze saldırıları başlatmasının ve Ukrayna sınırına asker göndererek Rusya’yı desteklemeyi kabul etmesinin ardından ülkedeki demiryollarını kapatarak.
Ayrı bir gelişmede, Anonymous ile bağlantılı bir Twitter hesabı, hack kolektifinin “resmi olarak Rus hükümetine karşı siber savaşta” olduğunu açıkladı ve grup bir dizi olayın sorumluluğunu üstlendi. DDoS saldırıları ve diğer hack’ler Rus hükümeti web sitelerine ve medya kanallarına karşı.
Saldırgan bilgisayar korsanlığı yeteneklerine sahip diğer gruplar çatışmaya katılmaya cazip gelse de, siber güvenlik uzmanları tırmanmaya karşı uyarıldı. Niyetinden bağımsız olarak, siber saldırıların, özellikle de hedefler askeriye dışındaki uygulamalarla altyapıya veya diğer kritik hizmetlere bağlıysa, öngörülemeyen sonuçları olabilir.
Wisniewski, “İyi adamların, kanunsuzların vereceği tali zararlardan endişe ediyorum” dedi. “İnsanları saldırmaya teşvik etmek [cyber targets]bu benim için çok tehlikeli bir durum … yan etkilerini bilmediğinizde bu sadece masum bir aktivite değil.”