Maksim Sergeevich Galochkin este extrem de prezent online. În chatul său de la locul de muncă, bărbatul în vârstă de 41 de ani le scrie colegilor zi și noapte. Se plânge că pierde bani din tranzacții cu criptomonede, spune că este dependent de Metallica și este de acord cu un coleg că thriller-ul „Hackers” este un film perfect pentru weekend. Galochkin se destăinuie unui coleg că preferă să lucreze la birou și îi este mai ușor să se concentreze acolo – soția sa îl „ceartă” când este acasă. Și știe ce își dorește în viață.
„Am obiective mari”, i-a spus el unui coleg în septembrie 2021. „Vreau să fiu bogat. Vreau să fiu milionar”. Colegul său mai idealist numește banii „un obiectiv de rahat”. Dar Galochkin are un plan. „Nu”, răspunde el, „banii sunt un mijloc de a aranja ceea ce vreau”.
Galochkin ar putea părea un angajat de birou tipic, dar el este de fapt în domeniul potrivit pentru a câștiga mulți bani. Potrivit mai multor cercetători din domeniul securității cibernetice, el este un membru cheie al cunoscutului grup rusesc de criminalitate cibernetică Trickbot, care a lansat mii de atacuri cibernetice în ultimii ani, afectând afaceri, spitale și chiar guverne din întreaga lume. În cadrul Trickbot, colegii săi îl cunosc după procela de „Bentley” și „Manuel”.
Dezvăluirea asupra lui Galochkin vin după o anchetă WIRED care a durat luni întregi și care a implicat mai mulți experți în securitate cibernetică și criminalitate cibernetică rusă. Analiza include evaluări detaliate al unui volum impresionant de date care au fost scurse de la grupul în cauză și postate online. Această investigație aduce și mai multă lumină asupra modului de funcționare intern a grupului de criminalitate cibernetică Trickbot, conectând jucătorii săi cheie la peisajul mai larg al criminalității cibernetice și dezvăluind legăturile dintre aceste grupuri infracționale și guvernul rus.
În martie 2022, un cont de Twitter cunoscut sub numele de „Trickleaks” a publicat mii de jurnale de chat online preluate de la aproximativ 35 de membri ai grupului. Mărimea totală a grupului Trickbot este dificil de evaluat, dar cercetătorii estimează că are între 100 și 400 de membri. Cel care a scurs datele anonime a publicat 250.000 de mesaje interne Trickbot și o serie de informații interne care expun persoanele care s-ar afla în spatele grupului. Setul de date include nume reale, fotografii, conturi de social media, numere de pașaport, numere de telefon, orașe de reședință și alte detalii personale ale presupușilor membri ai grupului. De asemenea, se regăsesc 2.500 de adrese IP, 500 de portofele de criptomonede și mii de domenii și adrese de email.
Împreună, aceste fișiere formează una dintre cele mai mari depozite de date provenite vreodată de la un grup de criminalitate cibernetică. La momentul lansării lor, la începutul anului 2022, fișierele Trickleaks au fost în mare parte ignorate de public, deoarece atenția globală s-a concentrat asupra invaziei Rusiei în Ucraina și a unei alte scurgeri majore de date de la grupul de ransomware Conti, despre care cercetătorii spun că este puternic legat de Trickbot.
Trickleaks nu a scăpat de atenția forțelor de ordine globale, care au evaluat datele. Datele lansate în spațiul pbulic anul trecut au avut loc în timpul unui efort concertat al Statelor Unite și Regatului Unit de a perturba, identifica și sancționa infractorii cibernetici ruși, inclusiv unii membri Trickbot. Dar aceste anchete guvernamentale sunt adesea cu ani în urma activității curente și implică o coordonare strategică pe termen lung.
Demascarea lui Bentley
Pentru infractorii cibernetici care caută anonimat, menținerea distanței față de colegi este crucială. Dar când îți petreci întreaga zi trimițând mesaje, chiar și cei mai anonimi oameni sunt susceptibili să dezvăluie unele detalii personale. Și pentru Galochkin, astfel de scăpări au ajutat în mod clar la dezvăluirea identității sale reale, spun cercetătorii.
În iunie 2020, de exemplu, un membru Trickbot cu numele „Defender” i-a cerut lui Bentley o adresă pe serviciul de mesagerie instant Jabber, astfel încât să poată comunica în afara canalelor interne ale grupului. Bentley i-a trimis colegului său numele de utilizator volhvb@exploit.im, conform cercetătorilor de la firma de securitate cibernetică Nisos, care au investigat identitatea lui Bentley la cererea WIRED.
Cercetătorul Nisos, Vincas Čižiūnas, a legat contactul Jabber de o adresă de email, volhvb@gmail.com, și un cont YouTube cu un nume similar, care a publicat videoclipuri detaliate despre tranzacționarea rusească de criptomonede. Unul dintre videoclipurile postate de contul YouTube „Mrvolhvb” arată că utilizatorul este, de asemenea, conectat la contul Jabber volhvb@exploit.im într-o altă fereastră. „Folosește aliasul ‘volhb’ în multe locuri”, spune Čižiūnas. Vitali Kremez, un expert în securitate cibernetică cu experiență, care s-a concentrat în mod extensiv pe Conti și Trickbot, a observat de asemenea această greșeală în videoclip. Kremez, care a decedat la sfârșitul anului trecut într-un accident, a declarat în martie 2022 că „Max” Galochkin era identitatea reală din spatele aliasului Bentley.
Prin informațiile industriei rusești de telefonie, datele scurse în urma unor încălcări de securitate și alte informații deținute de Nisos, adresa Gmail a fost legată de un număr de telefon al lui Galochkin. Această conexiune a contribuit la dezvăluirea identității offline a lui Galochkin. Înregistrările văzute de Nisos conectează numărul de telefon al lui Galochkin la o adresă din orașul rusesc Abakan. Cercetări suplimentare realizate de companie au dezvăluit că s-a născut în mai 1982 și numărul său de identificare fiscală arată că în trecut a avut numele de Maksim Sergeevich Sipkin. Galochkin și Sipkin sunt legați de aceeași dată de naștere și același număr de pașaport rusesc, conform analizei celor de la Nisos.
Alți experți în securitate cibernetică care au monitorizat gruparea Trickbot sunt de acord că Galochkin se află în spatele aliasului Bentley. Alex Holden, președintele și directorul de securitate informatică al Hold Security, un cercetător care a analizat acțiunile grupării Trickbot vreme de ani de zile, spune că datele referitoare la identitatea lui Bentley sunt „extrem de consistente” și confirmă concluziile sale anterioare.
Similar, Radoje Vasovic, CEO-ul firmei de securitate Cybernite Intelligence, care a analizat datele Trickleaks și a realizat cercetări în surse deschise, este convins că Galochkin este Bentley. În decembrie 2022, ziarul german Die Zeit a publicat, de asemenea, o investigație referitoare la Conti, care l-a identificat pe Bentley drept „Maxim G.”
Dezvăluirea identității lui Galochkin are o semnificație importantă. Bentley este una dintre persoanele cheie care dirijează gruparea Trickbot, datorită experienței și conexiunilor sale în lumea criminalității cibernetice, spune Holden. Trickbot a atras atenția în special datorită gravității acțiunilor sale. În perioada premergătoare alegerilor din Statele Unite din 2020, de exemplu, Comandamentul Cibernetic al SUA a desfășurat o operațiune ofensivă neobișnuit de publică pentru a perturba rețeaua de boți Trickbot. În săptămânile care au urmat, companii precum Microsoft au întreprins acțiuni legale și tehnice pentru a perturba rețelele Trickbot în cadrul eforturilor de a proteja procesul electoral și alte infrastructuri critice.
Criminalii cibernetici scapă adesea de răspundere prin succesul de a-și păstra anonimatul. Dar în cazul lui Galochkin, a fost posibil să construim o imagine detaliată a activităților sale în interiorul și în afara Trickbot. Într-o fotografie care apare pe profilurile GitHub și Gravatar ale lui Galochkin, apare un bărbat bine făcut, cu sprâncene dese de culoare maro închis și o barbă asortată. Are păr lung cărunt și alb și pozează pe marginea unui munte, purtând un rucsac de drumeție, blugi și un tricou alb. Nu este clar când a fost făcută fotografia.
Mesajele scurse în presă arată, de asemenea, că munca lui Galochkin poate să fi cauzat unele tensiuni în viața sa personală. La un moment dat, el îi spune unui coleg că soția sa a ajuns să accepte domeniul de activitate în care lucrează. „Îi spun că ne jucăm cu cretini aroganți din corporațiile americane”, spune un mesaj. „Ceea ce contează cel mai mult este că nu ne luăm după oamenii săraci obișnuiți”.
În 2010, înainte ca Galochkin să-și schimbe numele din Sipkin, conform Nisos, el a participat la mișcarea politică de opoziție rusă cunoscută sub numele de „Solidaritatea”. A fost ales în consiliul politic al unei filiale regionale a mișcării și a vorbit despre problemele corupției și cenzurii din Rusia, cerând revenirea la democrație și investigarea oficialilor sub conducerea președintelui de atunci Dmitri Medvedev.
Origini complicate
Nimeni nu știe de unde provin datele Trickleaks – și nimeni nu a revendicat vreodată responsabilitatea pentru scurgere. „Cu această cantitate de informații la care au avut acces, fie a fost vorba de cineva care s-a infiltrat destul de bine, fie vreun cercetător care a găsit cumva o modalitate de a pătrunde în profunzime în infrastructura lor”, spune Joe Wrieden, un analist de informații de securitate cibernetică de la Cyjax, care a compilat singurul raport public major despre Trickleaks și care a analizat mesajele lui Bentley pentru WIRED.
Dosarele de informații postate de Trickleaks dezvăluie mai multe similitudini între presupușii membri ai grupului. Sunt toți bărbați. Mulți pretind public că lucrează în tehnologie. Sunt în mare parte din Rusia, unii în orașe mari precum Moscova și Sankt Petersburg, alții, aparent, în orașe mai mici. Se spune că un membru locuiește în Belarus. Și toți presupușii membri ai grupului identificați în scurgerea de informații au între 25 și 40 de ani – ceea ce i-ar putea face eligibili pentru recrutare în războiul Rusiei din Ucraina.
O persoană, care a folosit aparent logo-ul Serviciului Federal de Securitate al Rusiei (FSB) ca poză de profil pe WhatsApp, a postat pe Facebook și Instagram fotografii obișnuite cu câini de companie și cu el în timp ce gătește. Wrieden spune că cineva care a compilat dosarele probabil că a combinat informații externe cu date din propriile sisteme, deoarece detalii precum cele personale și istoricul locurilor de muncă nu sunt incluse în mesajele scurse.
În timp ce nu este clar dacă toți cei numiți în scurgeri lucrează pentru Trickbot, Holden spune că multe detalii se suprapun cu ceea ce a văzut anterior. Unele informații au fost confirmate în sancțiunile emise de guvernele SUA și Marii Britanii. De exemplu, detaliile despre un membru Trickbot cunoscut ca „Tropa”, care au fost publicate de Trickleaks, se potrivesc cu identificatorii online, numele, vârsta și adresa de email listate în înregistrările din sancțiuni. Dar există unele inconsecvențe, spune Holden, inclusiv cazuri în care anumiți membri ai grupului nu sunt arătați vorbind în datele scurse, cu toate că alte cercetări indică faptul că ar fi trebuit să fie în contact strâns.
WIRED a încercat să contacteze 20 dintre presupușii membri Trickbot folosind adresele de email publicate în fișierele Trickleaks. Cererile de comentarii includ întrebări cu privire la corectitudinea informațiilor personale și dacă persoanele au legături cu Trickbot. Multe dintre adresele de email nu mai sunt active. Altele păreau să fie funcționale, dar WIRED nu a primit niciun răspuns de la aceștia.
Legături cu Kremlinul
Scurgerile de informații despre Trickbot și Conti au zguduit industria ransomware-ului. În iunie 2022, după un atac asupra statului Costa Rica, membrii grupului de ransomware Conti s-au dezbinat. Și luna februarie a acestui an, guvernele Regatului Unit și SUA au sancționat șapte persoane pentru presupusa lor implicare în cazul Trickbot.
Unul dintre cei sancționați a fost Vitaly Nikolayevich Kovalev, care, în mod ciudat, folosește identitățile online „Ben” și „Bentley”. Odată cu sancțiunile, SUA au dezvăluit o acuzație din 2012 în care îl acuzau pe Kovalev că a comis fraudă bancară între 2009 și 2010. Utilizarea de către Kovalev a identității „Bentley” nu este legată de numele lui Galochkin, explică WIRED.
Chiar dacă grupurile de criminalitate cibernetică precum Trickbot își propun să fie eficiente și să se profesionalizeze, faptul că două persoane folosesc aceeași poreclă, chiar și la ani distanță, ilustrează dezordinea și fluiditatea din cadrul acestor organizații. Și pe măsură ce grupurile din lumea criminalității ciberntice din Rusia se confruntă sau se dezintegrează pentru a evita sancțiunile autorităților internaționale, noi combinații ale acelorași chipuri familiare apar adesea sub emblema unui nou grup.
Urmărirea identităților reale și a relațiilor membrilor Trickbot subliniază, de asemenea, importanța grupului în peisajul înfloritor al criminalității din mediul virtual din Rusia. „Știm că cei care operează acțiuni de timp ransomware își prețuiesc anonimatul, deci expunerea identităților lor prin sancțiuni afectează reputația și relațiile lor în cadrul ecosistemului grupului din care fac parte”, spune Will Lyne, șeful departamentului de cyber intelligence din cadrul UK’s National Crime Agency, echivalentul FBI-ului din Marea Britanie. Lyne spune că sancțiunile împotriva membrilor Trickbot îi supun unei supravegheri mai stricte și le blochează accesul la sistemele financiare din Marea Britanie, SUA și internaționale.
FBI-ul a refuzat să comenteze despre Trickleaks sau activitatea recentă a Trickbot. Un oficial al US Cybersecurity and Infrastructure Security Agency, care a acceptat să vorbească cu WIRED cu condiția anonimatului, a declarat că a alertat „parteneri internaționali” cu privire la malware-ul Trickbot încă din august 2021 și a trimis 55 de avertizări în ultimul an.
„În ultimele 12 până la 18 luni, am observat o schimbare de putere în cadrul ecosistemului criminalității cibernetice, de la operatorii ransomware, care controlează malware-ul din spatele schemelor, la afiliați”, spune Lyne. „Aceasta a dus la faptul că unii afiliați colaborează mult mai liber cu mai multe variante de ransomware simultan”.
Grupările de criminalitate cibernetică operează la nivel global, iar tipurile particulare de escrocherii evoluează adesea în diferite regiuni ca urmare a aplicării slabe a legii pe care criminalii o folosesc în avantajul lor. În Rusia, Kremlinul a permis în general actorilor ransomware și altor grupuri să opereze destul de lejer – cu condiția să nu aibă ca țintă victime ruse. Pe măsură ce comunitatea globală a autorităților de aplicare a legii s-a zbătut să abordeze atacurile ransomware de nivel înalt, întrebarea cu privire la cât de adânc sunt legate grupurile ruse de guvernul lor a câștigat o semnificație tot mai crescută.
În ianuarie 2022, în mijlocul unei serii de atacuri deosebit de nemiloase asupra țintelor din SUA și UK, autoritățile ruse au arestat mai mulți presupuși membri ai grupului de ransomware REvil, deși suspecții acuzați doar de falsificare de carduri de credit. Această acțiune de aplicare a legii a fost un eveniment izolat și a părut să sublinieze în continuare că guvernul rus are un interes crescut în gestionarea imaginii și, în cele din urmă, în protejarea hackerilor săi.
Vorbind despre războiul Rusiei împotriva Ucrainei la conferința de securitate RSA din San Francisco în aprilie, directorul cibernetic al Agenției Naționale de Securitate din SUA, Rob Joyce, a declarat că atacatorii criminali și „hacktiviștii” sunt o „resursă naturală” pentru Kremlin. A adăugat că informațiile deținute de serviciile de informații ruse „sunt capabile să mențină relații și să folosească puterea coercitivă a guvernului rus” și că o astfel de relație este „destul de îngrijorătoare”.
Pe măsură ce războiul din Ucraina continuă, incapacitatea Rusiei de a avansa a devenit atât o sursă de rușine, cât și destabilizatoare pentru regimul lui Putin. Dar cercetătorii spun că, pe măsură ce Rusia devine mai izolată din punct de vedere geopolitic, cu atât este mai probabil ca relația dintre criminalii cibernetici și serviciile de informații ruse să persiste și chiar să se aprofundeze.
„Problema criminală rusă nu dispare nicăieri. Ba chiar acum este probabil mai apropiată de serviciile de securitate decât a fost vreodată”, afirmă John Hultquist, analistul șef al Mandiant Intelligence la Google Cloud. „Ei chiar desfășoară atacuri și fac lucruri care aduc beneficii serviciilor de securitate, astfel că aceste servicii au tot interesul să-i protejeze”.
Analiștii au concluzionat în mod repetat că infractorii cibernetici care lucrează în Rusia au legături cu Kremlinul. Și aceste conexiuni au devenit tot mai clare. Când Regatul Unit și Statele Unite au sancționat membrii Trickbot și Conti în februarie, ambele țări au declarat că membrii erau asociați cu „serviciile de informații ruse”. Au adăugat că este „probabil” ca unele dintre acțiunile lor au fost dirijate de guvernul rus și că infractorii aleg cel puțin unele dintre victimele lor pe baza „targetării realizate anterior de serviciile de informații ruse”.
Jurnalele de chat incluse în datele Trickleaks oferă o perspectivă rară asupra naturii acestor conexiuni. În 2021, doi presupuși membri Trickbot, Alla Witte și Vladimir Dunaev, au apărut în instanțele din SUA acuzați de infracțiuni cibernetice. În noiembrie 2021, conform analizei Nisos, conversațiile din Trickleaks arată că membrii erau îngrijorați de siguranța lor și că au intrat în panică când propriile lor portofele de criptomonede nu mai erau accesibile. Dar cineva care folosea aliasul Silver – presupus membru senior Trickbot – le-a oferit asigurări că este totul în regulă. În timp ce Ministerul de Interne rus era „împotriva” lor, au precizat ei, agențiile de informații erau „pentru noi sau neutre”. Au mai adăugat că „Șeful are conexiunile potrivite”.
În aceeași lună, aliasul „Manuel”, care s-a dovedit ca fiind unul dintre cele folosite de Galochkin, a afirmat că crede că liderul Trickbot cu aliasul „Stern”, a fost implicat în infracțiuni cibernetice „din 2000”, conform analizei Nisos. Un alt membru, cunoscut sub numele de „Angelo”, a răspuns că „Stern” era „legătura dintre noi și FSB”. Scurgerile anterioare ce vizau grupul Conti au indicat și ele anumite legături cu serviciile de informații și securitate din Rusia.
În ciuda unui efort global concertat de a perturba activitatea criminalilor cibernetici din Rusia prin sancțiuni, grupări precum Trickbot continuă să prospere. Ole Villadsen, analist senior la IBM X-Force, a observat că mulți membri Trickbot și Conti sunt încă activi, continuă să comunice între ei și folosesc infrastructura partajată pentru a lansa atacuri. Facțiunile grupului „continuă să colaboreze în culise”, spune Villadsen.
Sursă foto: xiarch.com
