كشف موقع إنترسبت (The Intercept) الإخباري الأميركي عن محادثات مسربة -منقولة بحذافيرها دارت بين قراصنة ينتمون لعصابة "كونتي رانسوم وير (Conti ransomware) الروسية المتخصصة في برامج الفدية الإلكترونية"- تناولوا خلالها غزو بلادهم لأوكرانيا.
وأفاد في تقرير طويل أن باحثا أمنيا أوكرانيا قيل إنه سرب أواخر الشهر الماضي سجلات دردشة داخلية بين أعضاء العصابة "من القوميين المتطرفين" رددوا خلالها "أكاذيب تآمرية" درج الرئيس الروسي فلاديمير بوتين على إطلاقها بشأن أوكرانيا. كما ناقشوا تأثير العقوبات الغربية الأولى على بلدهم، وتبادلوا تعليقات معادية للسامية عن الرئيس الأوكراني فلودومير زيلينسكي (اليهودي).
وجاءت التسريبات تلك بعد أن أعلنت مجموعة "كونتي" عن دعمها للرئيس بوتين في غزوه لأوكرانيا، وتوعدت بالثأر من أي حرب سيبرانية تستهدف الناطقين بالروسية. وتشمل السجلات محادثات استمرت عامين، وخدمات دردشة متعددة، نُشرت معها وثائق تدريب وأدوات قرصنة وشفرات المصادر.
وذكر "إنترسبت" أنه اطلع على سجلات الشهور الأخيرة، بالتركيز على تلك الصادرة من "روكيت شات" (RocketChat)، وهي منصة دردشة جماعية شبيهة ببرنامج ديسكورد (Discord) للتواصل الاجتماعي المجاني أو برنامج سلاك (Slack) الذي يوفر خدمة اتصالات للأعمال والشركات ويسمح لمجموعة من الأشخاص بالاتصال مع بعضهم لإنجاز الأعمال المشتركة. وقد استضافت مجموعة كونتي كلا البرنامجين في شبكة "تور" (Tor) وهي نظام تخفٍ يستخدم الاتصال المشفر على شبكة الإنترنت ويتيح لمستخدميه الاتصال بدون الكشف عن الهوية.
مصطلحات نابية وبذيئة
وتغص الرسائل المتبادلة بين أعضاء عصابة كونتي بأخطاء مطبعية، ولهجة عامية دارجة، ومصطلحات نابية بذيئة بالروسية. وأوضح موقع إنترسبت أنه استعان بتطبيق غوغل للترجمة (Google Translate) وخدمة ديبل (DeepL) للترجمة الآلية العصبية، ثم تولى متحدث روسي أصلي تصويبها يدويا.
ويبدو أن السجلات في بعض غرف الدردشة هي التي طالها التسريب. ومعظم الرسائل الحديثة مصدرها غرفة دردشة يطلق عليها اسم "#القناة العامة" (#general channel) يناقش فيها القراصنة أو الهاكرز بصراحة مواضيع لا تتعلق ببرامج الفدية مثل تعاطي المخدرات، والمواد الإباحية والعملات المشفرة، إلى جانب موضوعات فنية في بعض الأحيان.
وفي حين كانت (#القناة العامة) تضم 160 مستخدما -إذ تعد كونتي منظمة إجرامية كبيرة جدا- لم ينشر سوى قلة منهم رسائله بالفعل فيها طوال فترة الشهر.
وما لبث أن اتخذت المحادثات طابعا سياسيا في 21 فبراير/شباط عندما أعلن بوتين الاعتراف بالإقليمين الانفصاليين دونيتسك ولوغانسك شرقي أوكرانيا دولتين مستقلتين، وعندما غزت القوات الروسية أوكرانيا في 24 من الشهر نفسه.
يرددون "مزاعم" بوتين
وردد القراصنة الروس علنا "أكاذيب بوتين على أنها حقائق" من قبيل أن أوكرانيا تديرها "طغمة عسكرية من النازيين الجدد" وأن حكومتها تسعى للحصول على أسلحة نووية، حسب وصف موقع إنترسبت.
وتبادل أعضاء الدردشة باستمرار آخر الأخبار التي عمدت إلى تضخيم ما أحرزته روسيا حتى الآن من نجاح في الحرب.
وتحتوي سجلات الدردشة كذلك على قدر كبير من التعليقات المعادية للمرأة، بما في ذلك نقاشات تنطوي على تحرش جنسي ضد الأطفال ونكات تتعلق بهتك الأعراض، فضلا عن لهجة معادية للسامية تستهدف الرئيس الأوكراني.
رئيسهم قرر الاختفاء
وفي 21 فبراير/شباط نفسه، أعلنت عصابة كونتي في رسائل داخلية لموظفيها أن زعيم "المشروع الإجرامي" قد اختفى. ولما لم يتضح ما الذي حدث بالضبط، فقد جاء في الإعلان أن "الاهتمام الشديد من قبل الخارج هو من جعل الرئيس يقرر على ما يبدو التواري عن الأنظار".
وأضاف التصريح أيضا أن هذه العصابة لا تملك المال الكافي لدفع رواتب جميع موظفيها، طالبة منهم أخذ إجازة لمدة تتراوح بين شهرين و3 شهور.
ومع أن عمليات كونتي الحيوية قد توقفت، فإن الخادم الذي يستضيف منصة روكيت شات (RocketChat) للدردشة الجماعية كان لا يزال يعمل، لذا كانت المحادثات التي أعقبت ذلك تدور حصرا حول الحرب الروسية بأوكرانيا.
ونسبت وكالة سايبرسكوب (cyberscoop) المختصة بالأمن الإلكتروني إلى مصادر قولها هذا الأسبوع إن كونتي تعافت من التسريبات وهي تعمل.
أنجح عصابات الفدية
ووفقا لموقع إنترسبت، تعد كونتي أنجح عصابات برامج الفدية العاملة اليوم. ومن جانبها، أفادت شركة "تشيك بوينت ريسيرش" (Check Point Research) أن هذه العصابة تنشط على ما يبدو كمؤسسة كبيرة حيث تدفع رواتب مرتين في الشهر، وتعمل 5 أيام أسبوعيا بنظام ورديات متداخلة على مدار الساعة وحتى من خلال مرافق مكتبية فعلية.
وطبق تقرير صادر عن شركة "تشين أناليسيس" للأبحاث (Chainalysis) حول جرائم العملات المشفرة لعام 2002، ابتزت عصابة كونتي ما لا يقل عن 180 مليون دولار من ضحايا القرصنة العام الماضي.
وأشار التقرير إلى أن معظم الضحايا كانوا من قطاع الرعاية الصحية، من بينهم نظام الرعاية العامة في إيرلندا الذي تعرض 8500 جهاز حاسوب تابع له لتشفير بياناته في مايو/أيار 2021 في خضم جائحة كوفيد-19.
وطالبت كونتي السلطات الإيرلندية بدفع فدية مقدارها 20 مليون دولار مقابل فك التشفير، بحسب تقرير لمجلة "سي بي أو" (CPO) غير أن المسؤول التنفيذي للخدمات الصحية رفض دفع الفدية، لكن ما تزال تلك الدولة تتكبد 100 مليون يورو من أجل التعافي من الهجوم.
هجمات واسعة
كما حذر مكتب التحقيقات الفدرالي الأميركي (FBI) من أن هجمات كونتي استهدفت 16 شبكة رعاية صحية على الأقل بالولايات المتحدة.
ومضى تقرير إنترسبت إلى القول إنه بعد يوم من بدء القوات الروسية غزوها لأوكرانيا، نشرت كونتي بيانا على موقعها الإلكتروني أعلنت فيه دعمها الكامل لحكومة موسكو، محذرة أن كل من يهاجم روسيا، سيبرانيا أو غيره، فإنها ستستخدم "كافة الموارد المتاحة للرد بمهاجمة البنى التحتية الحيوية للعدو".
لكن كونتي خففت بعد ساعات من نبرة بيانها، إلا أن كثيرين كانوا لاحظوا دعمها المطلق لروسيا في حربها ضد أوكرانيا.
ومن بين أكثر من تأثروا "بأكاذيب" بوتين عضو في مجموعة الدردشة الخاصة بعصابة كونتي، يُدعى باتريك، والذي أصر على أن الحرب كانت حتمية بسبب سعي أوكرانيا للحصول على أسلحة نووية.
ولفت "إنترسبت" إلى أن ذلك التصريح الذي يصفه بالأكذوبة كان بمثابة نظرية المؤامرة التي أخذت حيزا كبيرا من خطاب بوتين في 21 فبراير/شباط قبيل الغزو.
وبينما كان غزو أوكرانيا على أشده، طفح إلى السطح مجددا موضوع اليهود. فقد أشار باتريك إلى أنهم هم من دمروا الإمبراطورية الروسية. وقال عضو آخر بفريق الدردشة اسمه "بيجي" إنه لا بد من "نزع اليهودية" عن إسرائيل بالقوة.