Hé lộ dữ liệu của nhóm hacker đối đầu với Anonymous

[sunshine1104]

Conti, băng đảng hacker khét tiếng từng thách thức Anonymous, bị một số thành viên trong nhóm nổi loạn và tung các đoạn chat bí mật.

Lượng thông tin bị rò rỉ gồm 339 tệp Json chứa hơn 60.000 tin nhắn nội bộ của Conti, trong giai đoạn từ tháng 1/2021 đến ngày 27/2. Dữ liệu được gửi đến hàng loạt nhà báo và nhà nghiên cứu bảo mật cuối tháng 2, kèm lời nhắn "chúng tôi đảm bảo rằng sẽ rất thú vị".

Một số nguồn tin cho rằng việc rò rỉ xuất phát từ một nhà nghiên cứu bảo mật người Ukraine xâm nhập được vào đội ngũ Conti. Còn theo vx-underground, tổ chức chuyên lưu trữ mã độc và các tài liệu của giới hacker, các đoạn chat được chia sẻ từ một thành viên của Conti. Thông tin về thành viên này vẫn được giấu kín, nhưng người này được cho là không hài lòng khi Conti lên tiếng thách thức Anonymous và ủng hộ chính phủ Nga.

Hôm 25/2, sau khi Anonymous tuyên bố đánh sập các hệ thống, website... của Nga, Conti thông báo nếu bất cứ ai định tấn công mạng chống lại Nga, nhóm "sẽ sử dụng toàn bộ nguồn lực có thể để tấn công ngược lại các cơ sở hạ tầng quan trọng của họ". Những người đứng đầu Conti sau đó chỉnh sửa thông điệp theo hướng trung lập hơn, nhưng vẫn không thể xoa dịu một số thành viên nổi loạn, dẫn đến vụ rò rỉ nói trên.

Một số tổ chức bảo mật có thời gian theo dõi Conti và từng tương tác với nhóm như Bleeping Computer, Recorded Future, AdvIntel xác nhận các tin nhắn trên thực sự là của nhóm này. Lượng dữ liệu được kết xuất từ máy chủ Jabber, nền tảng nhắn tin mã nguồn mở được các thành viên Conti sử dụng để trao đổi thông tin.

"Nhật ký trò chuyện của các tài khoản Jabber này là cuộc trao đổi giữa các chi nhánh và nhóm quản trị với nhau", Azim Khodjibaev, thuộc tổ chức bảo mật Cisco Talos, nhận định. Các đoạn chat hầu hết được thực hiện bằng các ký tự Cyrillic, dùng trong ngôn ngữ của Nga, Ukraine, Bulgaria, Belarus... Nội dung là về các cuộc đàm phán tống tiền nạn nhân, các mối liên hệ với những nhóm hacker chuyên về mã độc như TrickBot và Emotet, các phương thức thanh toán và giải pháp để tránh bị phát hiện...

Các đoạn chat giữa thành viên Conti bị công khai. Ảnh: The Record

Theo các nhà phân tích, vụ rò rỉ thông tin không chỉ hé lộ phương thức hoạt động của Conti, mà còn ảnh hưởng đến uy tín của của băng đảng này trong giới tội phạm mạng.

Từ khi hoạt động vào năm 2020, Conti được đánh giá là nhóm chuyên về mã độc tống tiền "tàn nhẫn và tinh vi". Nhóm còn cung cấp ransomware dưới dạng dịch vụ, tức cho các nhóm khác thuê cơ sở hạ tầng để thực hiện các vụ tấn công và thu được ít nhất 30,1 triệu USD sau chưa đầy hai năm. Nạn nhân của Conti là các doanh nghiệp, thậm chí cả dịch vụ phúc lợi xã hội. Tháng 5/2021, nhóm đánh sập mạng lưới của dịch vụ chăm sóc sức khỏe Ireland, khiến nước này phải chi hơn 100 triệu USD khắc phục.

Tech Crunch dẫn lời Brett Callow, nhà phân tích mối đe dọa tại Emsisoft, rằng vụ rò rỉ là một đòn giáng mạnh đối với Conti. "Các chi nhánh và đối tác sẽ mất niềm tin vào tổ chức này", Callow nhận định.

Theo The Record, cuộc xung đột Nga - Ukraine từ lâu đã gây chia rẽ trong thế giới ngầm của tội phạm mạng. Trong khi Conti ủng hộ Nga, Anonymous ở phe đối lập, còn một nhóm khét tiếng khác là LockBit giữ quan điểm trung lập. Tin tặc Nga và Ukraine trước đây vẫn hợp tác với nhau, nhưng nay quan hệ đã trở nên căng thẳng.