Il governo federale accusa 16 russi di essere legati a botnet utilizzate per ransomware, attacchi informatici e spionaggio.

L'ecosistema hacker in Russia, forse più che in qualsiasi altra parte del mondo, ha da tempo confuso i confini tra criminalità informatica, guerra informatica sponsorizzata dallo stato e spionaggio. Ora, l' incriminazione di un gruppo di cittadini russi e la chiusura della loro botnet dilagante offrono l'esempio più chiaro degli ultimi anni di come una singola operazione malware abbia presumibilmente permesso operazioni di hacking di vario tipo, tra cui ransomware, attacchi informatici in tempo di guerra in Ucraina e spionaggio ai danni di governi stranieri.

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato oggi l'incriminazione di 16 individui che le forze dell'ordine hanno collegato a un'operazione malware nota come DanaBot, che, secondo una denuncia, ha infettato almeno 300.000 dispositivi in ​​tutto il mondo. L'annuncio del Dipartimento di Giustizia descrive il gruppo come "con sede in Russia" e indica due dei sospettati, Aleksandr Stepanov e Artem Aleksandrovich Kalinkin, residenti a Novosibirsk, in Russia. Altri cinque sospettati sono nominati nell'atto di accusa, mentre altri nove sono identificati solo tramite pseudonimi. Oltre a queste accuse, il Dipartimento di Giustizia afferma che il Defense Criminal Investigative Service (DCIS), un ramo investigativo criminale del Dipartimento della Difesa, ha effettuato sequestri dell'infrastruttura di DanaBot in tutto il mondo, compresi gli Stati Uniti.

Oltre ad affermare che DanaBot sia stato utilizzato per attività di hacking criminale a scopo di lucro, l'atto d'accusa contiene anche un'affermazione più rara: descrive come una seconda variante del malware, a suo dire, sia stata utilizzata per attività di spionaggio contro obiettivi militari, governativi e ONG. "Malware pervasivi come DanaBot danneggiano centinaia di migliaia di vittime in tutto il mondo, tra cui entità militari, diplomatiche e governative sensibili, e causano perdite per molti milioni di dollari", ha scritto il procuratore statunitense Bill Essayli in una dichiarazione.

Dal 2018, DanaBot, descritto nella denuncia penale come "malware incredibilmente invasivo", ha infettato milioni di computer in tutto il mondo, inizialmente come un trojan bancario progettato per rubare direttamente ai proprietari di quei PC con funzionalità modulari pensate per il furto di carte di credito e criptovalute. Tuttavia, poiché i suoi creatori lo avrebbero venduto tramite un modello di "affiliazione" che lo rendeva disponibile ad altri gruppi di hacker per 3.000-4.000 dollari al mese, è stato presto utilizzato come strumento per installare diverse forme di malware in un'ampia gamma di operazioni, incluso il ransomware. Anche i suoi obiettivi si sono rapidamente espansi dalle vittime iniziali in Ucraina, Polonia, Italia, Germania, Austria e Australia a istituzioni finanziarie statunitensi e canadesi, secondo un'analisi dell'operazione condotta dalla società di sicurezza informatica Crowdstrike .

A un certo punto del 2021, secondo Crowdstrike, Danabot è stato utilizzato in un attacco alla supply chain del software che nascondeva il malware in uno strumento di programmazione javascript chiamato NPM, con milioni di download settimanali. Crowdstrike ha individuato vittime di questo strumento compromesso nei settori dei servizi finanziari, dei trasporti, della tecnologia e dei media.

Questa portata e l'ampia varietà dei suoi usi criminali hanno reso DanaBot "un colosso del panorama della criminalità informatica", secondo Selena Larson, ricercatrice sulle minacce informatiche presso l'azienda di sicurezza informatica Proofpoint.

Ma, cosa ancora più singolare, DanaBot è stato talvolta utilizzato anche per campagne di hacking apparentemente sponsorizzate da stati o collegate agli interessi di agenzie governative russe. Nel 2019 e nel 2020, è stato utilizzato per prendere di mira una manciata di funzionari governativi occidentali in apparenti operazioni di spionaggio, secondo l'atto d'accusa del Dipartimento di Giustizia. Secondo Proofpoint , in quei casi il malware è stato diffuso tramite messaggi di phishing che impersonavano l'Organizzazione per la Sicurezza e la Cooperazione in Europa (OSCE) e un'entità governativa del Kazakistan.

Poi, nelle prime settimane dell'invasione su vasta scala dell'Ucraina da parte della Russia, iniziata nel febbraio 2022, DanaBot è stato utilizzato per installare uno strumento DDoS ( Distributed Denial-of-Service ) su macchine infette e lanciare attacchi contro il server di posta elettronica del Ministero della Difesa ucraino e del Consiglio di sicurezza e difesa nazionale dell'Ucraina.

Tutto ciò rende DanaBot un esempio particolarmente chiaro di come il malware informatico sia stato presumibilmente adottato dagli hacker statali russi, afferma Larson di Proofpoint. "Storicamente, ci sono state molte insinuazioni di collaborazioni tra criminali informatici e entità governative russe, ma non c'è stata molta informazione pubblica su questi confini sempre più sfumati", afferma Larson. Il caso di DanaBot, afferma, "è piuttosto degno di nota, perché è una prova pubblica di questa sovrapposizione, in cui vediamo strumenti di criminalità informatica utilizzati a fini di spionaggio".

Nella denuncia penale, l'investigatore del DCIS Elliott Peterson, ex agente dell'FBI noto per il suo lavoro nelle indagini sui creatori della botnet Mirai, sostiene che alcuni membri dell'operazione DanaBot siano stati identificati dopo aver infettato i propri computer con il malware. Tali infezioni potrebbero essere state effettuate allo scopo di testare il trojan, oppure potrebbero essere state accidentali, secondo Peterson. In entrambi i casi, hanno portato all'acquisizione di informazioni identificative sui presunti hacker, che sono poi finite sull'infrastruttura di DanaBot e che il DCIS ha successivamente sequestrato. "Le infezioni involontarie hanno spesso portato al furto di dati sensibili e compromettenti dal computer dell'autore del reato da parte del malware e alla loro archiviazione sui server di DanaBot, inclusi dati che hanno contribuito a identificare i membri dell'organizzazione DanaBot", scrive Peterson.

Gli operatori di DanaBot restano in libertà, ma l'eliminazione di uno strumento su larga scala impiegato in così tante forme di hacking di origine russa, sia sponsorizzato dallo Stato che criminale, rappresenta una pietra miliare significativa, afferma Adam Meyers, responsabile della ricerca sulle minacce informatiche presso Crowdstrike.

"Ogni volta che si interrompe un'attività pluriennale, si influisce sulla loro capacità di monetizzarla. Si crea anche un vuoto, e qualcun altro si farà avanti e prenderà il suo posto", afferma Meyers. "Ma più riusciamo a interromperli, più li teniamo con le spalle al muro. Dovremmo ricominciare da capo e andare a cercare il prossimo obiettivo".