Nhật ký "tập đoàn" hacker Conti, Phần 2: Chuyện công sở

Conti là tên một ransomware cực kỳ nguy hiểm và đứng đằng sau nó là cả một tập đoàn hacker với cơ cấu tổ chức chẳng khác gì doanh nghiệp. Trong series mang tên "Nhật ký "tập đoàn" hacker Conti" này, Quản Trị Mạng mời các bạn cùng tìm hiểu về một trong những nhóm hacker khét tiếng nhất hiện nay.

Trong Phần 1, chúng ta đã tìm hiểu cách Conti đối phó với những rò rỉ nội bộ và các cuộc tấn công từ các công ty bảo mật và chính phủ. Trong phần 2 của loạt bài này, chúng ta hãy khám phá cảm giác làm việc cho Conti dựa trên miêu tả của chính nhân viên Conti.

Các cuộc trò chuyện nhóm của Conti tiết lộ rất nhiều điều về cấu trúc nội bộ và hệ thống phân cấp của tổ chức này. Conti phân chia nhân sự của nó thành các đơn vị kinh doanh giống như một doanh nghiệp vừa và nhỏ. Thậm chí, Conti có cả bộ phận nhân sự (HR) với nhiệm vụ liên tục tuyển, phỏng vấn những nhân viên mới có tiềm năng.

Các phòng ban của Conti có những nhiệm vụ khác nhau, được cấp mức ngân sách khác nhau. Nhiệm vụ của nhân viên và các lãnh đạo cao cấp gồm:

• Coder: Là những nhân viên được thuê để viết mã độc, tích hợp các công nghệ khác nhau vào mã độc...
• Tester: Là những nhân viên được tuyển để phụ trách việc kiểm tra mã độc Conti dựa trên các công cụ bảo mật và tiến hành xáo trộn nó.
• Administrator: Những nhân viên này được thuê để thiết lập hoặc tháo rỡ máy chủ cùng các cơ sở hạ tầng khác mà Conti tấn công.
• Reverse Engineers: Các kỹ sư đảo ngược code được thuê để tìm ra những lỗ hổng hoặc điểm yếu của code.
• Penetation Tester/Hacker: Đây là những nhân viên tuyến đầu với nhiệm vụ chống lại các nhóm bảo mật của các doanh nghiệp nhằm đánh cắp dữ liệu và cài đặt ransomware.

Conti dường như đã cho nghỉ việc toàn bộ đội ngũ nhân viên gửi thư rác của nó hoặc nó không muốn đề cập tới các Spammer với tư cách nhân viên chính thức. Mấy ông sếp của Conti có vẻ rất chặt chẽ trong việc phân bổ ngân sách cho các đơn vị trong tổ chức mặc dù đôi khi họ vẫn phải vay khoản đã duyệt chi cho bộ phận này để giải quyết nhu cầu cấp bách của một bộ phận khác.

Rất nhiều thứ liên quan tới cấu trúc của Conti được tiết lộ trong cuộc trò chuyện giữa Mango, một quản lý cấp trung, và Stern, một quản lý cấp cao hơn. Hàng ngày rất nhiều nhân viên Conti phải báo cáo công việc cho Mango. Trong khi đó, Stern giống như một người điều phối khi liên tục tìm tới các nhân viên để hỏi về tiến độ công việc của họ.

Hồi tháng 7/2021, Mango nói với Stern rằng Conti đã đặt quảng cáo trên các diễn đàn tội phạm mạng sử dụng tiếng Nga để thuê thêm nhân sự. "Thông báo tuyển dụng có ghi mức lương là 2.000 USD thế mà vẫn có những kẻ cho rằng chúng ta đang tuyển nô lệ", Mango viết. "Chúng tôi đã phản bác lại và nói rằng những người làm việc hiệu quả sẽ có lương cao hơn nhưng họ cũng đưa ra những ví dụ về việc một lập trình viên làm việc bình thường vẫn kiếm được mức lương từ 5 đến 10.000 USD".

Các cuộc trò chuyện cho thấy Conti chủ yếu theo dõi các nạn nhân bị nhiễm mã độc của chúng thông qua cả hai nền tảng dịch vụ tội phạm Trickbot và Emotet. Hàng chục nhân viên được Conti thuê để kiểm tra, duy trì và mở rộng cơ sở hạ tầng này 24 trên một ngày, 7 ngày trên một tuần.

Các thành viên của Conti gọi Emotet là "Booz" hoặc "Buza" và bằng chứng là khi đọc nhật ký trò chuyện này các chuyên gia phát hiện thấy Buza đã có một tổ chức ổn định của riêng nó với hơn 50 lập trình viên. Buza thậm chí còn có cơ cấu tổ chức tương tự như Conti.

Theo Mango, tính đến ngày 18/7/2021, băng đảng Conti đã tuyển dụng 62 người, chủ yếu là các coder chuyên viết malware và các tester phần mềm cấp thấp. Tuy nhiên, danh sách nhân sự của Conti đã biến động dữ dội từ tháng này sang tháng khác. Ví dụ, trong một số trường hợp, Conti đã buộc phải sa thải nhiều nhân viên như một biện pháp phòng ngừa an ninh sau những vụ rò rỉ bảo mật nội bộ của chính nó.

Vào tháng 5/2021, Stern nói với Mango rằng anh ta muốn thuộc hạ của mình thuê thêm 100 "encoder - người mã hóa" để làm việc với phần mềm độc hại của nhóm trước khi hầu hết các anh em trở về từ kỳ nghỉ tại Crimea. Stern nói rằng hầu hết những nhân viên mới này sẽ tham gia vào nhóm test/hack thâm nhập được điều hành bởi chính thủ lĩnh của Conti là "Hof" và "Reverse". Cả Hof và Reverse dường như đều có quyền truy cập vào nền tảng dịch vụ tội phạm Emotet.

Vào ngày 30/7/2021, Mango nói với Stern rằng biên chế đã tăng lên 87 nhân viên làm công ăn lương và nhiều nhân viên mới tuyển sắp tới làm việc. Dẫu vậy, vẫn rất khó để đánh giá quy mô của tổ chức như Conti, một phần là vì từ lâu nay các chuyên gia an ninh mạng cho rằng Conti chỉ đơn thuần là một phiên bản đổi tên của một ransomware khác hoặc là chương trình liên kết của ransomware Ryuk.

Ryuk được phát hiện lần đầu vào năm 2018, nó cũng tàn nhẫn và hám lợi giống như Conti. Theo FBI, trong năm đầu tiên hoạt động, Ryuk đã kiếm được 61 triệu USD tiền chuộc.

"Conti là phiên bản được lên sẵn mục tiêu của Ryuk và cũng xuất phát từ Trickbot và Emotet", các nhà nghiên cứu tại Palo Alto Networks chia sẻ. "Các bệnh viện bị nhắm vào là bởi vì họ đang quá tải trong việc đối phó với đại dịch và họ cần phải duy trì hoạt động của mình. Vì thế khả năng kiếm được tiền chuộc sẽ cao hơn".

Cuộc trò chuyện nội bộ của Conti cho thấy họ hoạt động độc lập với Ryuk. Do Ryuk đã sử dụng một số công cụ kỹ thuật và quy trình giống với Conti nên các chuyên gia bảo mật đã đưa ra nhận định sai lệch.

Công việc nhàm chán

Mỗi nhân viên Conti được chỉ định làm việc 5 ngày mỗi tuần và lịch làm việc của nhân viên bị thay đổi theo thời gian nên một số nhân viên luôn túc trực 24/7 để giải quyết các vấn đề kỹ thuật với mạng botnet hoặc để phản hồi các cuộc đàm phán đòi tiền chuộc do nạn nhân khởi xướng.

Giống như vô số tổ chức khác, Conti thực hiện trả lương vào ngày 1 và 15 hàng tháng và hầu hết thanh toán lương bằng Bitcoin. Các nhân viên nhận được khoảng 1.000 tới 2.000 USD hàng tháng.

Tuy nhiên, nhiều nhân viên Conti đã dùng phòng chat là nơi trút bầu tâm sự về những ngày làm việc liên tục không ngủ, không nghỉ giải lao. Trong khi đó, các quản lý cấp trên nhiều lần phớt lờ các yêu cầu xin nghỉ của họ.

Các cuộc trò chuyện cho thấy Conti đã phải rất vất vả để duy trì một số lượng code, tester và administrator ổn định khi mà họ luôn phải đối mặt với công việc mệt mỏi, lặp đi lặp lại và không được trả lương cao. Một số hành viên thuộc hàng top của Conti đã công khai về việc họ được các tổ chức ransomware khác tiếp cận và mời về làm việc. Nhìn chung, tinh thần của Conti luôn bị dao động giữa những kỳ trả lương.

Không có gì ngạc nhiên khi tỷ lệ bỏ việc, tỉ lệ tiêu hao và tỉ lệ kiệt sức là khá cao với nhân viên Conti cấp thấp. Vì thế, tập đoàn hacker này liên tục phải tuyển dụng nhân sự mới.

"Công việc của chúng ta nhìn chung là dễ nhưng đơn điệu lắm, ngày nào cũng giống ngày nào", nhân viên có biệt danh "Bentley" chia sẻ. Việc của Bentley là thực hiện mã hóa malware của Conti để đảm bảo nó không bị phát hiện bởi tất cả hoặc ít nhất là hầu hết phần mềm diệt virus trên thị trường. Bentley đang chia sẻ với một nhân viên Conti vừa vào làm có biệt danh "Idgo".

"Về cơ bản thì anh cần khởi chạy các tệp và kiểm tra chúng theo thuật toán", Bentley giải thích cho Idgo. Việc kiểm tra này cần thực hiện lặp đi lặp lại 4 tiếng một lần để đảm bảo rằng khả năng phát hiện mã độc mới được thêm vào Windows Defender không can thể phát hiện ra Conti.

"Cứ 4 tiếng một lần, bản cập nhật mới của cơ sở dữ liệu Defender sẽ được phát hành", Bentley nói. "Anh cần làm việc 8 tiếng trước 20 đến 21 giờ theo giờ Moscow. Đương nhiên là anh có thể được thăng tiến lên vị trí cao hơn". Idgo đồng ý với những gì Bentley nói và cho biết thêm rằng trước đó một năm anh đã bắt đầu làm việc cho Conti với  tư cách một tester.

Giám sát

Những cuộc trò chuyện cho thấy Conti cực giỏi trong việc tìm ra các nạn nhân tiềm năng và cũng giỏi trong việc tính ra chính xác số tiền mà nạn nhân nhất định phải trả. Nó cũng cực kỳ chính xác trong việc triển khai làm sao để từ một máy tính bị nhiễm có thể chiếm hoàn toàn một công ty nằm trong danh sách Fortune 500.

Là một cỗ máy hủy diệt chuyên gây phiền hà cho các doanh nghiệp lớn, Conti có lẽ là ransomware đỉnh nhất. Nhưng nhật ký trò chuyện cho thấy nhóm này đang rất cần một số công cụ theo dõi và quản lý quy trình làm việc. Lý do là vì hết lần này tới lần khác băng nhóm Conti bị mất quyền kiểm soát những con bot với số lượng lớn chỉ vì một sơ suất hoặc sai lầm nhỏ. Những con bot là tất cả nguồn thu tiền chuộc tiềm năng giúp trả lương cho nhân viên trong nhiều tháng.

Rải rác trong các cuộc trò chuyện của Conti - khoảng vài lần mỗi tuần - là những lời cầu xin từ các nhân viên khác nhau, những người chịu trách nhiệm duy trì các tài sản kỹ thuật số hoạt động và thay đổi liên tục để hỗ trợ hoạt động phát tán ransomware. Những cầu xin này thường liên quan tới hóa đơn quá hạn cho các máy chủ ảo, đăng ký tên miền và các tài nguyên điện toán đám mây khác.

Ngày 10/3/2021, một nhân viên cấp thấp của Conti cho biết "Carter" cho biết quỹ Bitcoin dùng để thanh toán cho các đăng ký VPN, giấy phép sản phẩm chống virus, máy chủ và tên miền mới chỉ còn có 1.240 USD.

"Xin chào, chúng tôi đã hết Bitcoin rồi, bốn máy chủ mới, ba gói đăng ký VPN và 22 lần gia hạn đang chờ thanh toán", Carter viết vào ngày 24/11/2021. "Còn hai tuần nữa là tới hạn thanh toán mà chỉ còn có 960 USD. Vui lòng gửi một số Bitcoin vào ví này, cảm ơn".

"Quên thanh toán cho tên miền neo và kết quả là khi gia hạn nó đã bị lạm dụng và chúng tôi có thể đã làm hỏng các bot", Carter gửi cho Stern vào ngày 23/9/2020.

Để có cái nhìn chính xác về Conti, biên tập viên của trang KrebOnSecurity đã dành nhiều giờ để đọc nhật ký trò chuyện hàng ngày của Conti từ tháng 9/2020. Phần lớn các cuộc trò chuyện chỉ là chat chit tẻ nhạt... Nhưng nhìn chung, Conti là một tổ chức tội phạm mạng hoạt động rất hiệu quả dù vẫn còn một số tồn tại.

Conti vẫn giữ được tính vô tổ chức đặc hữu của ngành tội phạm mạng. Dẫu vậy, khi càng kiếm được thêm nhiều tiền chuộc từ các nạn nhân, các băng đảng như Conti sẽ tiếp tục thắt chặt hoạt động để làm việc hiệu quả, chuyên nghiệp và kiếm được nhiều  tiền bất chính hơn.

"Chúng ta có tất cả mọi thứ từ cơ hội tới điều kiện, thứ chúng ta cần là làm việc chuyên nghiệp hơn", Mango gửi cho Stern vào ngày 27/8/2021. "Chúng ta liên tục xảy ra những thứ này thứ kia ví dụ như mải chat linh tinh không tập trung làm hoặc quên trả lời nạn nhân (thương lượng về tiền chuộc) trong nửa ngày".

Nếu bạn thích loạt bài này, mời các bạn đọc lại Phần 1 hoặc đọc tiếp Phần 3 và Phần 4 để ủng hộ Quản Trị Mạng nhé.