Російський ботнет DanaBot використовували для кіберзлочинів та шпигунства
/sci314.com/images/users/985/milosh-voskovets.jpg){kind=small}
Міністерство юстиції США висунуло звинувачення 16 особам за створення шкідливого програмного забезпечення DanaBot, яке заразило понад 300 тисяч комп'ютерів.
/sci314.com/images/news/cover/2859/380358574fb101588df49cee014142e4.jpg)
Міністерство юстиції США оголосило про висунення кримінальних звинувачень проти 16 осіб, яких правоохоронні органи пов'язують з операцією зі створення шкідливого програмного забезпечення під назвою DanaBot. Згідно зі скаргою, цей вірус заразив щонайменше 300 тисяч машин по всьому світу. Оголошення Міністерства юстиції про висунення звинувачень описує групу як «базовану в Росії» та називає двох підозрюваних — Олександра Степанова та Артема Олександровича Калінкіна, які проживають у Новосибірську, Росія. П'ять інших підозрюваних названі в обвинувальному акті, тоді як ще дев'ять ідентифіковані лише за їхніми псевдонімами.
Окрім висунення звинувачень, Міністерство юстиції повідомляє, що Служба кримінальних розслідувань Міністерства оборони здійснила вилучення інфраструктури DanaBot по всьому світу, включаючи Сполучені Штати. Крім звинувачень у тому, як DanaBot використовувався для комерційного кримінального хакерства, обвинувальний акт також містить рідкісне твердження — він описує, як другий варіант шкідливого програмного забезпечення використовувався для шпигунства проти військових, урядових та неурядових організацій.
«Поширене шкідливе програмне забезпечення, таке як DanaBot, завдає шкоди сотням тисяч жертв по всьому світу, включаючи чутливі військові, дипломатичні та урядові установи, та спричиняє збитки на багато мільйонів доларів», — написав у заяві прокурор США Білл Ессайлі.
З 2018 року DanaBot, описаний у кримінальній скарзі як «неймовірно інвазивне шкідливе програмне забезпечення», заразив мільйони комп'ютерів по всьому світу. Спочатку він функціонував як банківський троян, призначений для крадіжки безпосередньо у власників персональних комп'ютерів з модульними функціями, розробленими для крадіжки кредитних карток та криптовалюти. Однак, оскільки його творці нібито продавали його в «афілійованій» моделі, яка робила його доступним для інших хакерських груп за 3−4 тисячі доларів на місяць, незабаром він використовувався як інструмент для встановлення різних форм шкідливого програмного забезпечення в широкому спектрі операцій, включаючи програми-вимагачі.
Його цілі також швидко поширилися від початкових жертв в Україні, Польщі, Італії, Німеччині, Австрії та Австралії до фінансових установ США та Канади, згідно з аналізом операції компанією кібербезпеки Crowdstrike. В один момент у 2021 році, згідно з Crowdstrike, Danabot використовувався в атаці на ланцюг постачання програмного забезпечення, яка приховала шкідливе програмне забезпечення в інструменті кодування JavaScript під назвою NPM з мільйонами щотижневих завантажень. Crowdstrike знайшла жертв цього скомпрометованого інструменту в галузях фінансових послуг, транспорту, технологій та медіа.
Такий масштаб та широке різноманіття його кримінального використання зробили DanaBot «гігантом ландшафту електронної злочинності», згідно з Селеною Ларсон, штатним дослідником загроз у компанії кібербезпеки Proofpoint. Більш унікально, однак, DanaBot також іноді використовувався для хакерських кампаній, які, здається, спонсоруються державою або пов'язані з інтересами російських урядових агентств.
У 2019 та 2020 роках він використовувався для націлювання на кілька західних урядових чиновників у явних операціях шпигунства, згідно з обвинувальним актом Міністерства юстиції. Згідно з Proofpoint, шкідливе програмне забезпечення в цих випадках доставлялося в фішингових повідомленнях, які видавали себе за Організацію з безпеки та співробітництва в Європі та казахстанську урядову установу.
Потім, у перші тижні повномасштабного вторгнення Росії в Україну, яке почалося в лютому 2022 року, DanaBot використовувався для встановлення інструменту розподіленої атаки типу «відмова в обслуговуванні» на заражені машини та запуску атак проти веб-поштового сервера Міністерства оборони України та Ради національної безпеки і оборони України.
Все це робить DanaBot особливо яскравим прикладом того, як шкідливе програмне забезпечення кіберзлочинців нібито було прийнято російськими державними хакерами, каже Ларсон з Proofpoint. «Історично було багато припущень про те, що оператори кіберзлочинності товаришують з російськими урядовими установами, але не було багато публічних звітів про ці все більш розмиті лінії», — каже Ларсон. Випадок DanaBot, каже вона, «досить примітний, тому що це публічні докази цього перекриття, де ми бачимо інструменти електронної злочинності, що використовуються для цілей шпигунства».
У кримінальній скарзі слідчий Служби кримінальних розслідувань Міністерства оборони Елліотт Петерсон, колишній агент ФБР, відомий своєю роботою над розслідуванням творців ботнету Mirai, стверджує, що деякі члени операції DanaBot були ідентифіковані після того, як вони заразили власні комп'ютери шкідливим програмним забезпеченням. Ці зараження могли бути з метою тестування трояна або могли бути випадковими, згідно з Петерсоном.
У будь-якому випадку, вони призвели до того, що ідентифікаційна інформація про нібито хакерів потрапила на інфраструктуру DanaBot, яку Служба кримінальних розслідувань пізніше вилучила. «Випадкові зараження часто призводили до крадіжки чутливих та компрометуючих даних з комп'ютера актора шкідливим програмним забезпеченням та зберігання на серверах DanaBot, включаючи дані, які допомогли ідентифікувати членів організації DanaBot», — пише Петерсон.
Оператори DanaBot залишаються на волі, але ліквідація великомасштабного інструменту в стількох формах хакерства російського походження — як спонсорованого державою, так і кримінального — представляє значну віху, каже Адам Мейерс, який очолює дослідження розвідки загроз у Crowdstrike.
«Кожного разу, коли ви порушуєте багаторічну операцію, ви впливаєте на їхню здатність монетизувати її. Це також створює певний вакуум, і хтось інший збирається виступити та зайняти це місце», — каже Мейерс. «Але чим більше ми можемо їх порушувати, тим більше ми тримаємо їх на задніх лапах. Ми повинні повторювати та йти знаходити наступну ціль».
Екосистема хакерів у Росії, більше ніж, можливо, будь-де ще у світі, довго розмивала межі між кіберзлочинністю, спонсорованою державою кібервійною та шпигунством. Тепер обвинувальний акт групи російських громадян та ліквідація їхнього розгалуженого ботнету пропонує найяскравіший приклад за роки того, як одна операція зі шкідливим програмним забезпеченням нібито дозволила хакерські операції такі різноманітні, як програми-вимагачі, воєнні кібератаки в Україні та шпигунство проти іноземних урядів.
/sci314.com/images/news/cover/2923/bacf3a5c41a8a657dd63feba33a6a8d1.jpg)
/sci314.com/images/news/cover/2332/62d99d3b9e6b5c4e0fedcd7ddee69638.png)
/sci314.com/images/news/cover/2235/064d372e1659195962c06c1e474be2d6.)