Ботнет DanaBot, що має російське походження, застосовувався для здійснення кібератак та шпигунських операцій.
Міністерство юстиції Сполучених Штатів пред'явило обвинувачення 16 особам у зв'язку зі створенням шкідливого програмного забезпечення DanaBot, яке вразило більше 300 тисяч комп'ютерних систем.
Міністерство юстиції Сполучених Штатів Америки оголосило про пред'явлення кримінальних обвинувачень 16 особам, яких правоохоронці пов'язують із розробкою шкідливого програмного забезпечення, відомого під назвою DanaBot. Як зазначено у скарзі, цей вірус вразив принаймні 300 тисяч комп'ютерів по всьому світу. У повідомленні Міністерства юстиції підкреслюється, що ця група є "російською", і наводяться імена двох підозрюваних — Олександра Степанова та Артема Олександровича Калінкіна, які проживають у Новосибірську. Крім того, в обвинувальному акті згадуються ще п'ять підозрюваних, тоді як дев'ять інших вказані лише за їхніми нікнеймами.
Окрім висунення звинувачень, Міністерство юстиції повідомляє, що Служба кримінальних розслідувань Міністерства оборони здійснила вилучення інфраструктури DanaBot по всьому світу, включаючи Сполучені Штати. Крім звинувачень у тому, як DanaBot використовувався для комерційного кримінального хакерства, обвинувальний акт також містить рідкісне твердження -- він описує, як другий варіант шкідливого програмного забезпечення використовувався для шпигунства проти військових, урядових та неурядових організацій.
"Розповсюдження шкідливого програмного забезпечення, зокрема DanaBot, завдає значної шкоди сотням тисяч користувачів по всьому світу. Це стосується також чутливих військових, дипломатичних і урядових організацій, а загальні збитки вже досягли мільйонів доларів", — зазначив прокурор США Білл Ессайлі у своїй заяві.
З 2018 року DanaBot, описаний у кримінальній скарзі як "неймовірно інвазивне шкідливе програмне забезпечення", заразив мільйони комп'ютерів по всьому світу. Спочатку він функціонував як банківський троян, призначений для крадіжки безпосередньо у власників персональних комп'ютерів з модульними функціями, розробленими для крадіжки кредитних карток та криптовалюти. Однак, оскільки його творці нібито продавали його в "афілійованій" моделі, яка робила його доступним для інших хакерських груп за 3-4 тисячі доларів на місяць, незабаром він використовувався як інструмент для встановлення різних форм шкідливого програмного забезпечення в широкому спектрі операцій, включаючи програми-вимагачі.
Його цілі швидко розширилися з початкових жертв в Україні, Польщі, Італії, Німеччині, Австрії та Австралії до фінансових установ у США та Канаді, за даними дослідження, проведеного компанією з кібербезпеки Crowdstrike. У 2021 році, як повідомляє Crowdstrike, Danabot був задіяний у атаці на ланцюг постачання програмного забезпечення, де шкідливе ПЗ було замасковане в інструменті JavaScript під назвою NPM, який мав мільйони щотижневих завантажень. Crowdstrike виявила жертви цього скомпрометованого інструменту в таких сферах, як фінансові послуги, транспорт, технології та медіа.
Такий масштаб та широке різноманіття його кримінального використання зробили DanaBot "гігантом ландшафту електронної злочинності", згідно з Селеною Ларсон, штатним дослідником загроз у компанії кібербезпеки Proofpoint. Більш унікально, однак, DanaBot також іноді використовувався для хакерських кампаній, які, здається, спонсоруються державою або пов'язані з інтересами російських урядових агентств.
У 2019 і 2020 роках цей інструмент використовувався для націлювання на низку чиновників західних урядів у рамках відкритих шпигунських операцій, як зазначено в обвинувальному акті Міністерства юстиції. Згідно з інформацією від Proofpoint, у цих випадках шкідливе програмне забезпечення надійшло через фішингові електронні листи, які маскувалися під повідомлення від Організації з безпеки та співробітництва в Європі та казахстанської державної установи.
Потім, у перші тижні повномасштабного вторгнення Росії в Україну, яке почалося в лютому 2022 року, DanaBot використовувався для встановлення інструменту розподіленої атаки типу "відмова в обслуговуванні" на заражені машини та запуску атак проти веб-поштового сервера Міністерства оборони України та Ради національної безпеки і оборони України.
DanaBot виступає яскравим прикладом того, як шкідливе програмне забезпечення, створене кіберзлочинцями, нібито було адаптовано для використання російськими державними хакерами, зазначає Ларсон з компанії Proofpoint. "У минулому існувало безліч припущень про те, що кіберзлочинці мають зв'язки з російськими урядовими структурами, але публічних свідчень про ці все більш розмиті межі було недостатньо", – додає Ларсон. Вона підкреслює, що випадок DanaBot "є особливо важливим, адже це явне підтвердження цього перетворення, коли інструменти електронної злочинності використовуються для шпигунських цілей".
У кримінальному зверненні слідчий Служби кримінальних розслідувань Міністерства оборони Елліотт Петерсон, колишній агент ФБР, який здобув популярність завдяки розслідуванню творців ботнету Mirai, зазначає, що певні учасники операції DanaBot були виявлені після інфікування своїх комп'ютерів шкідливим ПЗ. За словами Петерсона, ці зараження могли бути навмисними для тестування тройяна або ж випадковими.
У будь-якому випадку, ці обставини призвели до того, що інформація, яка ідентифікує ймовірних хакерів, потрапила до інфраструктури DanaBot, яку згодом вилучила Служба кримінальних розслідувань. "Випадкові зараження часто завершувалися викраденням чутливих і компрометуючих даних з комп'ютера жертви шкідливим програмним забезпеченням, які потім зберігалися на серверах DanaBot. Серед цих даних були й ті, що дозволили виявити членів організації DanaBot," – зазначає Петерсон.
Оператори DanaBot поки що не затримані, проте знищення цього масштабного інструменту, що використовується в різних формах хакерської діяльності російського походження — як державними структурами, так і кримінальними угрупуваннями — є важливою подією, зазначає Адам Мейерс, керівник відділу розвідки загроз у Crowdstrike.
"Кожного разу, коли ви порушуєте багаторічну операцію, ви впливаєте на їхню здатність монетизувати її. Це також створює певний вакуум, і хтось інший збирається виступити та зайняти це місце", -- каже Мейерс. "Але чим більше ми можемо їх порушувати, тим більше ми тримаємо їх на задніх лапах. Ми повинні повторювати та йти знаходити наступну ціль".
Екосистема хакерів у Росії, можливо, більш ніж в будь-якій іншій країні, тривалий час стирала межі між кіберзлочинністю, державним кібервійною та шпигунською діяльністю. Нещодавно обвинувачення проти групи російських громадян та ліквідація їхнього складного ботнету стали яскравим прикладом того, як одна операція з використанням шкідливого програмного забезпечення нібито відкривала шлях до різноманітних хакерських дій — від програм-вимагачів до військових кібератак в Україні та шпигунства проти інших держав.
