Внутренняя организация Conti ничем не отличается от обычной IT-компании
Conti нанимает сотрудников не только через хакерские форумы, но и через сайты поиска работы и рекрутерские сервисы.
Возможность работать в офисе или удаленно, HR-команда со строгими правилами отбора кандидатов, контроль над производительностью, карьерный рост и бонусы – все это звучит как стандартные условия, предлагаемые сотрудникам IT-компаниями. Однако в данном случае речь идет не о софтверной компании, а о нашумевшей кибервымогательской группировке Conti.
В прошлом месяце Conti, которая, по мнению многих ИБ-экспертов, базируется в России, выразила свою поддержку российскому правительству. Этим она вызвала гнев украинского хакера, который в отместку выложил записи внутренних чатов группировки, проливающих свет на то, как она функционирует.
Как оказалось, по своей структуре Conti ничем не отличается от обычной IT-компании с разработчиками, тестировщиками, системными администраторами, HR-специалистами и прочими сотрудниками.
Исследователям ИБ-компании Check Point удалось выделить целый ряд должностей в Conti, начиная с отдела кадров, ответственного за прием на работу новых сотрудников, и заканчивая программистами, тестировщиками, шифровальщиками, в чьи обязанности входит обфускация кода, и сисадминами, работающими над созданием инфраструктуры для атак. Кроме того, в группировке есть наступательная команда, чьей задачей является превратить первоначальный взлом в полноценный захват всей атакуемой сети, и переговорщики, занимающиеся обсуждением выкупа с жертвами.
Многие сотрудники попали в Conti благодаря рекламе на хакерских форумах, но некоторые также были наняты более традиционным способом – через рекрутерские сервисы, сайты с предложением работы и т.д. Как и в любой компании, соискатели проходят собеседование.
Что интересно, некоторые нанятые Conti сотрудники не знают, что их работа незаконна, по крайней мере, изначально. Некоторым в ходе собеседования сообщается, будто они будут разрабатывать инструменты для тестирования на проникновение.
Судя по утекшим чатам, один из сотрудников, назвавшихся своим настоящим именем, интересовался у менеджера, что именно за ПО они разрабатывают и почему персонал так печется о своей анонимности. Менеджер ответил, что задачей сотрудника является разработка бэкенда для аналитического ПО. И таких ничего не подозревающих разработчиков в группировке насчитывалось несколько десятков.
Некоторые из них потом обнаруживали, что вовлечены в киберпреступную деятельность. В таких случаях менеджеры предлагали им повышение зарплаты, и многие решали продолжать работать.
Хотя в основном вся работа организовывалась online, некоторые сотрудники работали в офисах и рабочих пространствах в российских городах.
Однако, несмотря на позорную утечку своих чатов, Conti вряд ли прекратит свою деятельность. Некоторые сотрудники, безусловно, уволятся, однако многие из тех, кто изначально не догадывался о характере своей работы, предпочтут остаться, не желая расставаться с хорошей зарплатой. Тем более, в условиях санкций им будет сложно найти хорошую работу за рубежом.
Цифровые следы - ваша слабость, и хакеры это знают.