Governo federal acusa 16 russos de supostamente estarem ligados a botnets usados ​​em ransomware, ataques cibernéticos e espionagem

O ecossistema hacker na Rússia, mais do que talvez em qualquer outro lugar do mundo, há muito tempo confunde os limites entre crime cibernético, guerra cibernética patrocinada pelo Estado e espionagem. Agora, a acusação contra um grupo de cidadãos russos e a derrubada de sua extensa botnet oferecem o exemplo mais claro em anos de como uma única operação de malware supostamente possibilitou operações de hacking tão variadas quanto ransomware, ataques cibernéticos em tempo de guerra na Ucrânia e espionagem contra governos estrangeiros.

O Departamento de Justiça dos EUA anunciou hoje acusações criminais contra 16 indivíduos que as autoridades policiais vincularam a uma operação de malware conhecida como DanaBot, que, de acordo com uma denúncia, infectou pelo menos 300.000 máquinas em todo o mundo. O anúncio das acusações pelo Departamento de Justiça descreve o grupo como "baseado na Rússia" e nomeia dois dos suspeitos, Aleksandr Stepanov e Artem Aleksandrovich Kalinkin, como residentes em Novosibirsk, Rússia. Outros cinco suspeitos são nomeados na acusação, enquanto outros nove são identificados apenas por seus pseudônimos. Além dessas acusações, o Departamento de Justiça afirma que o Serviço de Investigação Criminal de Defesa (DCIS) — um braço de investigação criminal do Departamento de Defesa — realizou apreensões de infraestrutura do DanaBot em todo o mundo, inclusive nos EUA.

Além de alegar como o DanaBot foi usado em atividades criminosas com fins lucrativos, a acusação também faz uma afirmação mais rara: descreve como uma segunda variante do malware, segundo ela, foi usada em espionagem contra alvos militares, governamentais e de ONGs. "Malwares disseminados como o DanaBot prejudicam centenas de milhares de vítimas em todo o mundo, incluindo entidades militares, diplomáticas e governamentais sensíveis, e causam muitos milhões de dólares em perdas", escreveu o procurador-geral dos EUA, Bill Essayli, em um comunicado.

Desde 2018, o DanaBot — descrito na denúncia criminal como "malware incrivelmente invasivo" — infectou milhões de computadores em todo o mundo, inicialmente como um trojan bancário projetado para roubar diretamente dos proprietários desses PCs, com recursos modulares projetados para roubo de cartões de crédito e criptomoedas. No entanto, como seus criadores supostamente o venderam em um modelo de "afiliação" que o disponibilizava a outros grupos de hackers por US$ 3.000 a US$ 4.000 por mês, ele logo foi usado como ferramenta para instalar diferentes formas de malware em uma ampla gama de operações, incluindo ransomware. Seus alvos também se espalharam rapidamente, de vítimas iniciais na Ucrânia, Polônia, Itália, Alemanha, Áustria e Austrália para instituições financeiras dos EUA e Canadá, de acordo com uma análise da operação feita pela empresa de segurança cibernética Crowdstrike .

Em determinado momento de 2021, de acordo com a Crowdstrike, o Danabot foi usado em um ataque à cadeia de suprimentos de software que escondeu o malware em uma ferramenta de codificação JavaScript chamada NPM, com milhões de downloads semanais. A Crowdstrike encontrou vítimas dessa ferramenta comprometida nos setores de serviços financeiros, transporte, tecnologia e mídia.

Essa escala e a grande variedade de seus usos criminosos fizeram do DanaBot "um rolo compressor do cenário do crime eletrônico", de acordo com Selena Larson, pesquisadora de ameaças da empresa de segurança cibernética Proofpoint.

Mais singularmente, porém, o DanaBot também foi usado em campanhas de hacking aparentemente patrocinadas pelo Estado ou vinculadas a interesses de agências governamentais russas. Em 2019 e 2020, foi usado para atingir um punhado de funcionários de governos ocidentais em aparentes operações de espionagem, de acordo com a acusação do Departamento de Justiça. Segundo a Proofpoint , o malware nesses casos foi distribuído em mensagens de phishing que se passavam pela Organização para a Segurança e Cooperação na Europa (OSCE) e por uma entidade governamental do Cazaquistão.

Então, nas primeiras semanas da invasão em larga escala da Ucrânia pela Rússia, que começou em fevereiro de 2022, o DanaBot foi usado para instalar uma ferramenta de negação de serviço distribuída (DDoS) em máquinas infectadas e lançar ataques contra o servidor de webmail do Ministério da Defesa da Ucrânia e do Conselho de Segurança Nacional e Defesa da Ucrânia.

Tudo isso torna o DanaBot um exemplo particularmente claro de como malware cibercriminoso supostamente foi adotado por hackers estatais russos, afirma Larson, da Proofpoint. "Historicamente, tem havido muitas sugestões de operadores cibercriminosos se associando a entidades governamentais russas, mas não há muitos relatos públicos sobre essas linhas cada vez mais tênues", diz Larson. O caso do DanaBot, diz ela, "é bastante notável, porque é uma evidência pública dessa sobreposição, onde vemos ferramentas de crime eletrônico usadas para fins de espionagem".

Na denúncia criminal, o investigador do DCIS, Elliott Peterson — ex-agente do FBI conhecido por seu trabalho na investigação dos criadores da botnet Mirai — alega que alguns membros da operação DanaBot foram identificados após infectarem seus próprios computadores com o malware. Essas infecções podem ter sido para fins de teste do trojan ou podem ter sido acidentais, segundo Peterson. De qualquer forma, resultaram em informações de identificação sobre os supostos hackers que acabaram acessando a infraestrutura da DanaBot, que o DCIS posteriormente apreendeu. "As infecções inadvertidas frequentemente resultavam no roubo de dados confidenciais e comprometedores do computador do agente pelo malware e no armazenamento em servidores da DanaBot, incluindo dados que ajudaram a identificar membros da organização DanaBot", escreve Peterson.

Os operadores do DanaBot continuam soltos, mas a derrubada de uma ferramenta de larga escala usada em tantas formas de hacking de origem russa — tanto patrocinadas pelo estado quanto criminosas — representa um marco significativo, diz Adam Meyers, que lidera a pesquisa de inteligência de ameaças na Crowdstrike.

“Toda vez que você interrompe uma operação plurianual, você está impactando a capacidade deles de monetizá-la. Isso também cria um certo vácuo, e alguém vai assumir esse lugar”, diz Meyers. “Mas quanto mais conseguirmos interromper a operação, mais os manteremos em alerta. Devemos repetir o processo e ir em busca do próximo alvo.”