Władze federalne oskarżają 16 Rosjan o powiązania z botnetami wykorzystywanymi w ransomware, cyberatakach i szpiegowaniu

Ekosystem hakerów w Rosji, bardziej niż gdziekolwiek indziej na świecie, od dawna zaciera granice między cyberprzestępczością, sponsorowaną przez państwo cyberwojną i szpiegostwem. Teraz akt oskarżenia grupy obywateli Rosji i likwidacja ich rozległego botnetu stanowią najwyraźniejszy przykład od lat, jak pojedyncza operacja złośliwego oprogramowania rzekomo umożliwiła operacje hakerskie tak różnorodne, jak ransomware, wojenne cyberataki na Ukrainie i szpiegowanie obcych rządów.

Departament Sprawiedliwości USA ogłosił dziś zarzuty karne przeciwko 16 osobom, które organy ścigania powiązały z operacją złośliwego oprogramowania znaną jako DanaBot, która według skargi zainfekowała co najmniej 300 000 maszyn na całym świecie. W ogłoszeniu zarzutów Departament Sprawiedliwości opisuje grupę jako „rosyjską” i wymienia dwóch podejrzanych, Aleksandra Stepanowa i Artema Aleksandrowicza Kalinkina, mieszkających w Nowosybirsku w Rosji. Pięciu innych podejrzanych zostało wymienionych w akcie oskarżenia, podczas gdy dziewięciu innych zidentyfikowano jedynie za pomocą pseudonimów. Oprócz tych zarzutów Departament Sprawiedliwości twierdzi, że Defense Criminal Investigative Service (DCIS) — wydział dochodzeniowo-śledczy Departamentu Obrony — przeprowadził przejęcia infrastruktury DanaBot na całym świecie, w tym w USA.

Oprócz twierdzenia, że ​​DanaBot był używany w przestępczym hakowaniu nastawionym na zysk, akt oskarżenia zawiera również rzadsze twierdzenie — opisuje, jak druga odmiana złośliwego oprogramowania, o którym mówi, była używana w szpiegostwie przeciwko celom wojskowym, rządowym i pozarządowym. „Powszechne złośliwe oprogramowanie, takie jak DanaBot, szkodzi setkom tysięcy ofiar na całym świecie, w tym wrażliwym podmiotom wojskowym, dyplomatycznym i rządowym, i powoduje straty w wysokości wielu milionów dolarów” — napisał w oświadczeniu prokurator USA Bill Essayli.

Od 2018 r. DanaBot — opisany w skardze karnej jako „niezwykle inwazyjne złośliwe oprogramowanie” — zainfekował miliony komputerów na całym świecie, początkowo jako trojan bankowy zaprojektowany do kradzieży bezpośrednio od właścicieli tych komputerów za pomocą modułowych funkcji zaprojektowanych do kradzieży kart kredytowych i kryptowalut. Ponieważ jego twórcy rzekomo sprzedawali go w modelu „partnerskim”, który udostępniał go innym grupom hakerskim za 3000–4000 USD miesięcznie, wkrótce został wykorzystany jako narzędzie do instalowania różnych form złośliwego oprogramowania w szerokiej gamie operacji, w tym oprogramowania ransomware. Jego cele również szybko rozprzestrzeniły się z początkowych ofiar na Ukrainie, w Polsce, Włoszech, Niemczech, Austrii i Australii do amerykańskich i kanadyjskich instytucji finansowych, zgodnie z analizą operacji przeprowadzoną przez firmę zajmującą się cyberbezpieczeństwem Crowdstrike .

W pewnym momencie w 2021 r., według Crowdstrike, Danabot został użyty w ataku na łańcuch dostaw oprogramowania, który ukrył złośliwe oprogramowanie w narzędziu do kodowania JavaScript o nazwie NPM z milionami pobrań tygodniowo. Crowdstrike znalazł ofiary tego skompromitowanego narzędzia w branży usług finansowych, transportu, technologii i mediów.

Zdaniem Seleny Larson, badaczki zagrożeń w firmie zajmującej się cyberbezpieczeństwem Proofpoint, skala i różnorodność jego zastosowań przestępczych sprawiły, że DanaBot stał się „potężnym graczem na rynku e-przestępczości”.

Co bardziej wyjątkowe, DanaBot był również czasami używany do kampanii hakerskich, które wydają się być sponsorowane przez państwo lub powiązane z interesami rosyjskich agencji rządowych. W latach 2019 i 2020 był używany do atakowania garstki zachodnich urzędników rządowych w ramach domniemanych operacji szpiegowskich, zgodnie z aktem oskarżenia Departamentu Sprawiedliwości. Według Proofpoint złośliwe oprogramowanie w tych przypadkach było dostarczane w wiadomościach phishingowych, które podszywały się pod Organizację Bezpieczeństwa i Współpracy w Europie oraz podmiot rządowy Kazachstanu.

Następnie, na początku pełnoskalowej inwazji Rosji na Ukrainę, która rozpoczęła się w lutym 2022 r., DanaBot został użyty do zainstalowania narzędzia do rozproszonej odmowy usługi (DDoS) na zainfekowanych komputerach i przeprowadzenia ataków na serwer poczty internetowej ukraińskiego Ministerstwa Obrony oraz Rady Bezpieczeństwa Narodowego i Obrony Ukrainy.

Wszystko to sprawia, że ​​DanaBot jest szczególnie jasnym przykładem tego, jak cyberprzestępcze oprogramowanie złośliwe rzekomo zostało przyjęte przez rosyjskich hakerów państwowych, mówi Larson z Proofpoint. „W przeszłości pojawiało się wiele sugestii, że operatorzy cyberprzestępców zadawali się z rosyjskimi podmiotami rządowymi, ale nie było zbyt wielu publicznych doniesień na temat tych coraz bardziej rozmytych granic”, mówi Larson. Przypadek DanaBot, mówi, „jest dość znaczący, ponieważ jest publicznym dowodem tego nakładania się, w którym widzimy narzędzia e-przestępczości wykorzystywane do celów szpiegowskich”.

W skardze karnej śledczy DCIS Elliott Peterson — były agent FBI znany ze swojej pracy nad dochodzeniem w sprawie twórców botnetu Mirai — twierdzi, że niektórzy członkowie operacji DanaBot zostali zidentyfikowani po tym, jak zainfekowali swoje komputery złośliwym oprogramowaniem. Te infekcje mogły mieć na celu przetestowanie trojana lub mogły być przypadkowe, według Petersona. Tak czy inaczej, skutkowały one identyfikacją informacji o domniemanych hakerach, które trafiły do ​​infrastruktury DanaBot, którą później przejęło DCIS. „Nieumyślne infekcje często skutkowały kradzieżą poufnych i narażających na szwank danych z komputera sprawcy przez złośliwe oprogramowanie i przechowywaniem ich na serwerach DanaBot, w tym danych, które pomogły zidentyfikować członków organizacji DanaBot” — pisze Peterson.

Operatorzy DanaBot pozostają na wolności, ale unieszkodliwienie narzędzia wykorzystywanego na szeroką skalę w wielu formach hakowania rosyjskiego pochodzenia — zarówno sponsorowanego przez państwo, jak i przestępczego — stanowi ważny kamień milowy, twierdzi Adam Meyers, który kieruje badaniami nad zagrożeniami w firmie Crowdstrike.

„Za każdym razem, gdy zakłócasz wieloletnią operację, wpływasz na ich zdolność do jej monetyzacji. Tworzy to również pewną próżnię, a ktoś inny wkroczy i zajmie to miejsce” — mówi Meyers. „Ale im bardziej możemy im przeszkadzać, tym bardziej trzymamy ich w tyle. Powinniśmy przepłukać i powtórzyć i znaleźć następny cel”.