我能用键盘战斗，一名乌克兰IT专家如何揭露一个臭名昭著的俄罗斯勒索软件团伙

肖恩·林加斯，CNN，更新于美国东部时间2022年3月30日星期三凌晨2:00

一名乌克兰计算机专家向CNN独家讲述了他在俄罗斯入侵后瓦解一个臭名昭著的俄罗斯勒索软件团伙的努力。

华盛顿(美国有线电视新闻 )随着俄罗斯炮兵开始大雨倾盆 ，上个月在他的家乡，一名乌克兰计算机研究人员决定以他所知道的最好方式进行反击——破坏俄罗斯最强大的勒索软件团伙之一。

俄罗斯的入侵?已经四天了?，该研究人员开始公布Conti有史以来最大的文件和数据泄露，Conti是一个俄罗斯和东欧 络犯罪集团，因对数百家美国组织进行攻击并造成数百万美元的损失而被联邦调查局通缉。

数以千计的内部文件和通信包括证据，似乎表明康迪特工与俄罗斯政府内部有联系，包括俄罗斯联邦安全局情 机构。这支持了美国长期以来的指控，即莫斯科与 络犯罪分子勾结以获得战略优势。

泄露事件背后的乌克兰计算机专家接受了CNN的独家采访，并描述了他在Conti特工入侵乌克兰后立即发表声明支持俄罗斯政府后寻求 复的动机。他还描述了最近几周他拼命寻找在乌克兰的亲人。

为了保护他的身份，CNN同意用化名丹尼洛来称呼他。

“我不能射击任何东西，但我可以用键盘和鼠标战斗，”丹尼洛告诉CNN。

2022年3月24日，在乌克兰南部被围困的港口城市马里乌波尔，乌克兰-俄罗斯冲突期间，亲俄罗斯部队的服役人员驾驶装甲车经过当地居民。

但这也表明，禁用勒索软件操作有多难。尽管丹尼洛揭露了他们的行动，黑客们继续宣布新的受害者。

丹尼洛多年来一直担任 络安全研究员，研究欧洲的地下 络犯罪经济，他只是黑客和 络安全高管之间爆发的影子战争中的一名义务警员，这些高管承诺支持乌克兰和俄罗斯政府，这是二战以来欧洲最大的陆地战争。

但通过瓦解像孔蒂这样臭名昭著的集团，丹尼洛获得了比其他人更多的关注。丹尼洛说，在他开始泄露孔蒂档案后，联邦调查局联系了他，要求他停止泄露。

美国联邦调查局拒绝置评。

2022年3月28日，乌克兰哈尔科夫，一座仓库遭到俄罗斯炮击，消防员正在灭火。

CNN通过审查证据证实了丹尼洛的说法，即他是泄密者，证据显示他有权访问发布Conti数据的推特账户，以及丹尼洛和另一个为了保护他们而匿名的人用来分享泄露数据的 站。

直到现在，丹尼洛还没有向媒体透露他的动机。他是在一个饱受战争蹂躏的国家航行时做到这一点的，他最近才回到这个国家，几乎认不出来了。

“这是我的国家，”他在电话采访中说。“如果他们(乌克兰政府)向我提供武器，好吧，我会去战斗。但我更擅长打字。”

数字 复

丹尼洛声称，他2016年第一次获得了Conti计算机系统。尽管他拒绝详细解释他是如何做到这一点的，但独立的安全专家已经向CNN证实，该数据集属于黑客。(Conti既是恶意软件的名称，也是使用该软件的 络犯罪集团的名称。该组织还与TrickBot有关联，trick bot是另一种用于大量勒索软件攻击的黑客工具。)

“有时他们会犯错误，”丹尼洛说，他指的是勒索软件集团。“你需要在他们犯错时抓住他们。我只是在正确的时间出现在了正确的地方。我在监视他们。”

丹尼洛说，多年来，他悄悄潜伏在黑客的电脑服务器上，并将该组织的运作信息传递给欧洲执法官员。

Conti勒索软件在过去两年中一直很猖獗，黑客每周都声称有大量受害者。

2020年9月，黑客声称从路易斯安那州的一家地方法院窃取了案件档案。2021年3月，Conti勒索软件被用于一次黑客攻击，使爱尔兰250亿美元的公共卫生系统的计算机 络陷入瘫痪，扰乱了都柏林的一个产科病房。

这项黑暗工作利润丰厚:根据跟踪加密货币交易的公司Elliptic的数据，2021年，使用Conti勒索软件的黑客在短短四个月内收到了至少2550万美元的赎金。

2022年3月26日，在俄罗斯军方和亲俄分裂分子的控制下，平民沿着人道主义走廊从乌克兰城市马里乌波尔撤离，人们看到倒塌的建筑。

2022年2月25日，当Conti发表声明承诺在俄罗斯政府袭击乌克兰时“全力支持”俄罗斯政府时，丹尼洛发布一些事情。

俄罗斯的一次空袭落在离一个家庭成员的房子不远的地方。这位 络安全研究员在乌克兰长大，当时乌克兰还是苏联的一部分。他不想看到它重新落入俄罗斯人手中。

孔蒂成员试图收回他们的声明，声称他们不支持任何政府，但丹尼洛已经听够了。

当再次被问及为什么要抛出孔蒂的数据时，丹尼洛笑着说:“为了证明他们是混蛋。”一整天，他在乌克兰的军事检查站穿行，寻找香烟，仰望天空寻找下一次空袭的迹象，这让他筋疲力尽。

联邦调查局介入

孔蒂正是多产勒索软件集团的类型，美国总统乔·拜登去年在对美国关键基础设施的一系列攻击中敦促俄罗斯总统弗拉基米尔·普京予以遏制。

克里姆林宫似乎摇摆不定今年1月，当俄罗斯联邦安全局(FSB)情 机构宣布逮捕多名被指控的 络犯罪分子时，与美国合作打击 络犯罪的前景。但是在 络犯罪问题上双边合作的机会已经变得渺茫。据联合国称俄罗斯入侵乌克兰，这场战争已造成1000多名平民死亡，并使普京成为国际 会的弃儿。

2022年3月20日，乌克兰马里乌波尔，在亲俄分裂分子的控制下，被困在马里乌波尔市的平民被疏散到其他城市。

丹尼洛说，在他开始泄露数据后，一名联邦调查局特工联系了他，要求他停止泄露。理论上，暴露Conti的基础设施会让FBI更难追踪该组织，因为它可能会建立新的计算机系统。

丹尼洛现在已经停止泄露了。但是他说他仍然可以进入一些Conti电脑系统。

至少有一名与CNN交谈的执法官员更希望丹尼洛保持这种秘密访问，而不是通过泄露数据来提醒勒索软件Conti注意他的存在。

“(泄密者所做的)公开发布信息是鲁莽的，”一名美国执法官员告诉CNN。“与执法部门合作可以在瓦解像Conti这样的集团的运作方面取得更大和更持久的影响。”

但荷兰警方的前 络犯罪调查员约翰·福克说，这一泄密事件实际上可能对警方追捕 络骗子有用。

“是的，基础设施可以烧毁。然而，泄密中提供的大量数据让我相信，执法部门获得了对关键人物提起诉讼所需的信息，”福克说，他在安全公司Trellix担任 络调查主管，与欧洲执法部门密切合作。

一系列不端行为

Conti泄密事件是一个数百万美元犯罪企业罪行的惊人目录。

CNN评估并翻译了丹尼洛通过推特与世界分享的原始文件。

“兄弟，别忘了纳瓦尔尼，我把它标记给老板了——他在等细节，”芒果wrote给俄语的johnyboy77。

目前还不清楚这次交易的“老大”是谁。但是Christo Grozev，Bellingcat的俄罗斯首席调查员，tweeted泄露的聊天内容证实了Bellingcat收到的匿名线 ，称“一个全球 络犯罪集团根据FSB的命令入侵了你的一个投稿人。””

安全公司Mandiant的 络犯罪分析主管金伯利·古迪(Kimberly Goody)表示，Conti特工在聊天中提到了圣彼得堡的Liteyny大道，那里恰好是俄罗斯联邦安全局当地办事处的所在地。

“一般来说，相对而言，这并不令人惊讶，像这样大规模的行动在某个时间点以某种方式被(俄罗斯政府)作为资产加以利用，”古迪告诉CNN。

3月18日，乌克兰基辅，一名乌克兰军人站在炮击后的废墟中。

俄罗斯驻华盛顿大使馆没有回应置评请求。俄罗斯政府一直否认对 络犯罪视而不见的指控。

康迪泄密事件和美国 络安全官员的公开警告之间似乎也存在关联，这表明联邦当局一直在密切关注该组织。

2020年10月26日，当美国医院继续受到冠状病毒病例的困扰时，一名化名Troy的Conti成员用俄语给另一名成员写道:“本周美国的诊所一团糟…会有恐慌。428医院。”

两天后，美国联邦调查局(FBI)和美国 络安全和基础设施安全局(CISA)发布了关于勒索软件攻击医院的可怕警告，其中许多医院使用了一种恶意软件，泄露的文件与康迪特工有关。目前还不清楚是什么具体情 促使联邦政府对这些医院发出警告，但这个时机是惊人的。

这是我的工作

络攻击在乌克兰战争中起到了辅助作用。白宫指责俄罗斯GRU军事情 局在入侵前关闭了乌克兰政府的关键 站。(克里姆林宫否认了这一指控。)美国官员还在调查为乌克兰部分地区服务的卫星 络遭到的黑客攻击，这起攻击发生在俄罗斯入侵开始之际，可能是俄罗斯政府支持的黑客攻击。CNN此前 道称。

就其本身而言，乌克兰政府鼓励乌克兰和海外的志愿者黑客组成的“IT大军”对俄罗斯组织进行 络攻击。

在自由竞争的乌克兰 络空间，像丹尼洛这样的战斗人员按照自己的方式战斗。

2022年3月21日，乌克兰基辅，俄罗斯炮击后被完全摧毁的购物中心鸟瞰图。

当被问及最近过得如何时，丹尼洛的回答是一致的:“还活着。”

看到房屋和学校变成废墟，他的声音失去了活力。

丹尼洛回忆说，在战争初期，他带着笔记本电脑进入一个掩体，处理康Conti的文件。掩体中的另一个人感到困惑，因为他在炮击中专注于自己的电脑。

“你他妈的在干什么？”丹尼洛回忆说，那个人问他。

丹尼洛在讲述这个故事时紧张地笑了。“这是我的工作，”他告诉CNN。“[我这么做]是因为我能。”

在经历了数周的战争后，丹尼洛告诉CNN，他本周带着笔记本电脑安全离开了乌克兰。