Федералы предъявили обвинения 16 россиянам, предположительно связанным с ботнетами, используемыми для вымогательства, кибератак и шпионажа

Хакерская экосистема в России, возможно, больше, чем где-либо еще в мире, давно размыла границы между киберпреступностью, спонсируемой государством кибервойной и шпионажем. Теперь обвинительный акт в отношении группы граждан России и уничтожение их обширного ботнета представляют собой самый яркий пример за многие годы того, как одна вредоносная операция якобы позволила проводить такие разнообразные хакерские операции, как программы-вымогатели, военные кибератаки на Украине и шпионаж против иностранных правительств.

Министерство юстиции США сегодня объявило об уголовных обвинениях против 16 лиц, которых правоохранительные органы связали с вредоносной операцией, известной как DanaBot, которая, согласно жалобе, заразила не менее 300 000 машин по всему миру. В объявлении Министерства юстиции об обвинениях группа описывается как «российская» и двое подозреваемых, Александр Степанов и Артем Александрович Калинкин, называются проживающими в Новосибирске, Россия. Пять других подозреваемых названы в обвинительном заключении, а еще девять идентифицированы только по псевдонимам. В дополнение к этим обвинениям Министерство юстиции заявляет, что Служба уголовных расследований Министерства обороны (DCIS) — подразделение уголовного расследования Министерства обороны — проводила захваты инфраструктуры DanaBot по всему миру, в том числе в США.

Помимо утверждений о том, что DanaBot использовался для преступного хакерства с целью получения прибыли, в обвинительном заключении также содержится более редкое утверждение — оно описывает, как второй вариант вредоносного ПО, которое, по его словам, использовалось для шпионажа против военных, правительственных и неправительственных организаций. «Распространенное вредоносное ПО, такое как DanaBot, наносит вред сотням тысяч жертв по всему миру, включая важные военные, дипломатические и правительственные организации, и наносит убытки на многие миллионы долларов», — написал в своем заявлении прокурор США Билл Эссейли.

С 2018 года DanaBot, описанный в уголовном иске как «невероятно инвазивное вредоносное ПО», заразил миллионы компьютеров по всему миру, изначально как банковский троян, разработанный для кражи непосредственно у владельцев этих ПК с модульными функциями, предназначенными для кражи кредитных карт и криптовалюты. Поскольку его создатели предположительно продавали его по «партнерской» модели, которая делала его доступным другим хакерским группам за 3000–4000 долларов в месяц, однако вскоре его стали использовать в качестве инструмента для установки различных форм вредоносного ПО в широком спектре операций, включая программы-вымогатели. Его цели также быстро распространились от первоначальных жертв в Украине, Польше, Италии, Германии, Австрии и Австралии до финансовых учреждений США и Канады, согласно анализу операции, проведенному фирмой по кибербезопасности Crowdstrike .

По данным Crowdstrike, в какой-то момент 2021 года Danabot использовался в атаке на цепочку поставок программного обеспечения, которая скрывала вредоносное ПО в инструменте кодирования javascript под названием NPM с миллионами еженедельных загрузок. Crowdstrike обнаружил жертв этого скомпрометированного инструмента в финансовых услугах, транспорте, технологиях и медиаиндустрии.

По словам Селены Ларсон, штатного исследователя угроз в компании Proofpoint, занимающейся кибербезопасностью, этот масштаб и широкий спектр его преступного использования сделали DanaBot «гигантом в сфере электронной преступности».

Однако более уникально то, что DanaBot также иногда использовался для хакерских кампаний, которые, по-видимому, спонсируются государством или связаны с интересами российских правительственных агентств. В 2019 и 2020 годах он использовался для атаки на нескольких западных правительственных чиновников в ходе явных шпионских операций, согласно обвинительному заключению Министерства юстиции. По данным Proofpoint , вредоносное ПО в этих случаях доставлялось в фишинговых сообщениях, которые выдавали себя за Организацию по безопасности и сотрудничеству в Европе и правительственную организацию Казахстана.

Затем, в первые недели полномасштабного вторжения России в Украину, которое началось в феврале 2022 года, DanaBot использовался для установки инструмента распределенного отказа в обслуживании (DDoS) на зараженные машины и запуска атак на сервер веб-почты Министерства обороны Украины и Совета национальной безопасности и обороны Украины.

Все это делает DanaBot особенно ярким примером того, как вредоносное киберпреступное ПО якобы было принято российскими государственными хакерами, говорит Ларсон из Proofpoint. «Исторически было много предположений о том, что операторы киберпреступников общаются с российскими государственными структурами, но не было большого количества публичных сообщений об этих все более размытых границах», — говорит Ларсон. Случай с DanaBot, по ее словам, «весьма примечателен, потому что это публичное доказательство этого совпадения, когда мы видим, как инструменты электронной преступности используются в целях шпионажа».

В уголовном иске следователь DCIS Эллиот Петерсон — бывший агент ФБР, известный своей работой по расследованию создателей ботнета Mirai — утверждает, что некоторые участники операции DanaBot были идентифицированы после того, как они заразили свои собственные компьютеры вредоносным ПО. По словам Петерсона, эти заражения могли быть направлены на тестирование трояна или могли быть случайными. В любом случае они привели к выявлению информации о предполагаемых хакерах, оказавшихся в инфраструктуре DanaBot, которую DCIS позже изъяла. «Непреднамеренные заражения часто приводили к тому, что конфиденциальные и компрометирующие данные крались с компьютера злоумышленника вредоносным ПО и сохранялись на серверах DanaBot, включая данные, которые помогли идентифицировать членов организации DanaBot», — пишет Петерсон.

Операторы DanaBot остаются на свободе, но устранение масштабного инструмента, использовавшегося во многих формах хакерских атак российского происхождения — как спонсируемых государством, так и преступных — представляет собой важную веху, считает Адам Мейерс, возглавляющий исследования по анализу угроз в Crowdstrike.

«Каждый раз, когда вы нарушаете многолетнюю работу, вы влияете на их способность монетизировать ее. Это также создает некий вакуум, и кто-то другой собирается выступить и занять это место», — говорит Мейерс. «Но чем больше мы можем их нарушить, тем больше мы держим их в напряжении. Мы должны промыть и повторить и пойти искать следующую цель».