Getty Images
Conti : dans les coulisses d’un cybergang aux allures de PME
Le gang de cyber-rançonneurs a compté jusqu’à plus d’une centaine de membres avant de voler en éclats, à l’occasion d’une fuite de données massive motivée par l’invasion de l’Ukraine par la Russie. L’occasion d’une plongée au cœur de l’organisation mafieuse Conti.
Le 25 février, la franchise Conti a pris ouvertement position en faveur de la Russie. Dans un message publié sur leur site vitrine, le gang a ainsi annoncé son « soutien complet au gouvernement russe ». Peu après, le message a été légèrement nuancé, le groupe menaçant d’utiliser ses « pleines capacités pour lancer des mesures de rétorsion, dans le cas où les va-t-en-guerre occidentaux tenteraient de toucher des infrastructures critiques en Russie ou dans des pays russophones ».
Mais le mal était fait. Une personne très proche du gang a rendu publiques les archives d’échanges privés des membres de Conti depuis début 2020, et même des fichiers datant de 2016, sans compter du code source à profusion ou des captures d’écran des outils du gang, à commencer par son système de contrôle à distance de systèmes compromis, Bazar Loader.
Une vaste organisation…
La première chose que révèlent ces conversations, c’est la taille et la structure de l’organisation Conti. Deux leaders ressortent clairement, sous les pseudonymes Mango et Stern. Mi-juillet 2021, le premier détaille au premier l’état des effectifs : 62 personnes dans l’équipe principale, celle chargée de conduire les attaques et de négocier avec les victimes ; 23 personnes côté développement ; 6 autres pour la rétro-ingénierie ; et 4 de plus pour le renseignement en sources ouvertes.
Les échanges font aussi ressortir Terry, un membre de l’équipe qui semble en charge de Trickbot et remonte régulièrement les touches obtenues à la « direction ». De potentielles victimes en devenir qui s’ignorent encore.
Certains membres du gang sont plus que des affidés. Comme l’évoquaient les autorités américaines à l’automne dernier, Conti a ses salariés. Chaque mois, ils se tournent notamment vers Mango pour obtenir leur « salaire », 500 ou 750 $ en bitcoins sur une adresse précisée par message.
Mais le niveau de compétence s’avère globalement hétérogène, avec certaines recrues auxquelles il faut expliquer comment utiliser un serveur VPN ou un serveur mandataire Socks.
Certains membres du gang apparaissent en outre plus prudents que d’autres, notamment pour recevoir leurs paiements : là où certains utilisent régulièrement la même adresse bitcoin, d’autres en changent de manière plus ou moins systématique.
… Où peu connaissent les victimes
Les personnes chargées de la conduite des attaques apparaissent elles-mêmes ne connaître que celles dont elles ont la charge. Les détails des accès initiaux à exploiter sont fournis via le service privnote – ou d’autres équivalents – où les notes personnelles sont détruites après consultation. Terry utilise également ce service pour remonter les touches de Trickbot.
Si des échanges doivent avoir lieu au sujet d’une victime – potentielle ou avérée –, celle-ci n’est pas nommée : il est simplement fait référence à son identifiant unique utilisé dans la base de données des outils d’administration des activités. Une sorte de système de gestion des relations clients diraient sûrement les cyberdélinquants.
Mais il y a également des sous-équipes, avec leurs leaders. Ford, par exemple, suggéré pour une telle position par Buza, au grand regret de Salamandra qui aurait préféré travailler directement avec Stern. C’est du moins ce qui ressort d’un échange survenu mi-août 2021.
… Et où les tensions ne manquent pas
Certaines observations extérieures – jusqu’à la fuite de données de formation durant l’été 2021 – ont donné à entrevoir des tensions internes à la galaxie Conti. Les échanges privés au sein du groupe, récemment révélés, les font apparaître au grand jour.
Début juillet, des discussions surviennent quant aux montants des salaires, inférieurs à ce qui pouvait avoir été attendu, au regard des annonces de recrutement publiées sur les forums fréquentés par les cyberdélinquants. Mais fin août, le membre qui se fait appeler Love houspille vertement Stern en lui reprochant de trop traîner dans les paiements.
Fin octobre, les échanges s’échauffent, Stern déplorant que « tout le monde blame les autres, mais il n’y a personne qui décide de tout ». Dans la foulée, Sticks relève n’avoir pas reçu son salaire. Et d’autres retards de paiement sont relevés. Des tensions particulièrement marquées semblent apparues début novembre entre Stern et Many.
Une prudence toute limitée
Les échanges divulgués font ressortir un niveau de confiance impressionnant. Le gang ne semble pas être freiné par le moindre embargo et encore moins hésiter à investir pour apprendre à contourner les protections trouvées dans les systèmes d’information des entreprises.
Début 2021, le groupe travaille ainsi à l’acquisition de licences pour l’EDR de Carbon Black. Et il travaille à acquérir de l’équipement réseau, avec livraison via l’Ukraine ou la Biélorussie.
Le gang semble également s’être intéressé à macOS, ainsi qu’au passage à Rust. Mais l’on découvre, au détour d’un échange de début octobre, que Conti ne fait appel à aucun mixer pour tenter de blanchir ses gains. Le développement d’un mixer captif est même évoqué, voire même celui d’une blockchain alternative. L’idée ? Construire de quoi permettre à d’autres de « créer leurs devises, leurs échanges et leurs projets sur notre système ».
Vers un éclatement complet ?
Mais toutes ces ambitions pourraient être, au moins à court terme, douchées. La fuite tout juste survenue ne concerne pas que quelques conversations privées. À cela, il convient d’ajouter des identifiants de connexion à des serveurs privés virtuels utilisés par le gang, d’autres pour des VPN ou des serveurs mandataires mis à contribution dans ses attaques, et surtout du code source à profusion. De quoi trouver des failles dans le rançongiciel Conti, mais également mieux repérer les balises utilisées par les assaillants, ou encore trouver des vulnérabilités permettant d’infiltrer directement ses systèmes de backend.
Avec tout cela, non seulement certains membres du groupe sont susceptibles d’être plus facilement identifiés et inquiétés, mais les activités mêmes du gang pourraient être durablement pénalisées. Celui-ci semble ainsi avoir rencontré certaines difficultés à corriger des problèmes techniques dans le courant de l’été 2021. Et déjà, selon diverses sources, des affidés chercheraient à se tourner vers d’autres franchises.