У світі кіберзлочинності Росія давно стоїть окремо. Тут державні спецслужби, кримінальні угруповання та окремі хакери часто діють пліч-о-пліч, розмиваючи межі між війною, крадіжками та шпигунством. І тепер маємо новий доказ цієї гібридної реальності: масштабну справу проти 16 росіян, яких звинувачують у створенні та розповсюдженні шкідливого програмного забезпечення DanaBot. Програма працювала як універсальний хакерський інструмент — від банального викрадення грошей до атак на українські держоргани під час війни.
Що сталося?
Міністерство юстиції США (DOJ) офіційно висунуло обвинувачення 16 громадянам Росії, пов’язаним із ботнетом DanaBot. За даними слідства, ця шкідлива програма з 2018 року інфікувала понад 300 тисяч комп’ютерів по всьому світу, перетворюючи їх на «зомбі»-пристрої, що використовувались у різноманітних кіберопераціях.
Двох підозрюваних, Олександра Степанова та Артема Калінкіна, ідентифіковано як мешканців Новосибірська. Ще п’ять осіб названі в офіційному обвинувальному акті, а решта дев’ять — поки що фігурують під псевдонімами.
Що таке DanaBot?
Спочатку DanaBot з’явився як банківський троян — програма, що краде паролі, дані банківських карток, криптовалюту. Але з часом цей «вірус» став куди більш універсальним. Його творці застосували модель підписки, дозволяючи іншим кіберзлочинцям користуватись шкідливим ПЗ за $3 000–4 000 на місяць.
Це дозволило DanaBot швидко стати гравцем на всіх фронтах:
- інструментом для встановлення інших вірусів,
- запуском атаки типу ransomware (вимагання грошей за розблокування комп’ютера),
- інструментом шпигунства проти урядових та неурядових організацій,
- зброєю в кібервійні Росії проти України.
DanaBot і війна в Україні
Одним із найгучніших прикладів використання DanaBot була його участь в атаках на українські державні установи після початку повномасштабного вторгнення Росії в Україну у 2022 році. Заражені комп’ютери використовувалися для DDoS-атак (перевантаження серверів) на електронну пошту Міноборони та РНБО.
DanaBot як інструмент шпигунства
Окрім звичайних фінансових махінацій, згідно з обвинувальним актом, виявлено другу версію DanaBot, яка використовувалася для кібершпигунства проти західних урядів, дипломатичних установ та неурядових організацій.
Так, у 2019–2020 роках програму застосували для фішингових атак, прикидаючись повідомленнями від ОБСЄ чи уряду Казахстану. Метою було проникнення у системи чиновників західних держав.
Прокол злочинців: як їх викрили
У ході розслідування виявилося, що деякі з хакерів випадково заразили власні комп’ютери DanaBot’ом — можливо, для тестування, а можливо, через недбалість. В результаті цього слідчі з DCIS (Кримінально-розшукової служби Міноборони США) отримали доступ до персональних даних самих творців DanaBot, що зберігалися на заражених серверах.
Масштаб шкоди
Згідно з даними кібербезпекових компаній CrowdStrike та Proofpoint:
- DanaBot використовувався в постачальних атаках, наприклад, через популярний JavaScript-інструмент NPM.
- Постраждали фінансові структури, компанії в галузі транспорту, технологій і медіа.
- Через масове використання і широку гнучкість DanaBot став “мегазброєю” в арсеналі кіберзлочинців.
Державна і кримінальна співпраця — рука об руку
Цей кейс став публічним доказом того, що давно припускали фахівці з кібербезпеки: російські державні структури активно співпрацюють або принаймні використовують напрацювання кримінальних хакерських груп. І хоча прямі докази таких зв’язків рідко стають надбанням громадськості, справа DanaBot — один із небагатьох винятків.
«Багато років ходили чутки про співпрацю кіберзлочинців з урядом Росії. Але справа DanaBot — це один із перших публічних прикладів, де інструменти е-злочинців використовуються для шпигунства», — каже аналітик Proofpoint Селена Ларсон.
Що далі?
Більшість підозрюваних досі на волі. Проте знешкодження частини інфраструктури DanaBot та оприлюднення деталей операції стало серйозним ударом по російському хакерському угрупованню.
«Кожного разу, коли ми знищуємо подібну багаторічну операцію, ми послаблюємо здатність злочинців заробляти. Так, з’являються нові — але чим частіше ми їх знищуватимемо, тим складніше їм буде діяти», — каже Адам Мейєрс з CrowdStrike.
Висновок
Історія DanaBot — це хрестоматійний приклад сучасної кібервійни: одна програма, безліч цілей, і тонка межа між злочином та державною політикою. Це також тривожний сигнал для всього світу — у світі, де війна ведеться не лише танками, а й кодом, важливо бути готовими до нових форм загроз.
Джерело: Arstechnika