Російських хакерів викрито
Федеральне бюро розслідувань США офіційно звинуватило 16 громадян Росії у зв’язку з масштабною кіберзлочинною діяльністю, що включала шпигунство, атаки на державні структури та фінансові шахрайства. За даними американського Мін’юсту, підозрювані були причетні до створення й експлуатації шкідливого програмного забезпечення під назвою DanaBot, яке заражало сотні тисяч комп’ютерів у світі, повідомляє 24 Канал з посиланням на Wired.
Дивіться також Microsoft викрила діяльність нового вірусу, що заразив ПК по всьому світу, включаючи Україну
Це один із найяскравіших прикладів того, як одна й та ж сама програма може бути використана одночасно і для здійснення атак і кібершпигунства, хоча зазвичай ці функції є розділеними й вимагають різного програмного забезпечення. Російська хакерська інфраструктура давно відома тим, що межа між злочинністю, державною кібервійною та розвідкою там майже стерта, кажуть експерти.
DanaBot, який вперше з’явився у 2018 році як банківський троян, з часом перетворився на багатофункціональний інструмент для різних форм атак – від крадіжок даних і криптовалют до програм-вимагачів. За словами представників правоохоронних органів, програму могли придбати інші хакерські групи за ціною від 3 до 4 тисяч доларів на місяць.
- Серед підозрюваних – росіяни Олександр Степанов та Артем Калінкін, що проживають у Новосибірську.
- Ще п’ятеро осіб названі в обвинувальному акті поіменно, а дев’ятеро – лише за псевдонімами.
Крім звинувачень, Міністерство юстиції США повідомило про глобальну операцію зі знешкодження інфраструктури DanaBot, у якій брали участь, зокрема, представники Служби кримінальних розслідувань Міністерства оборони США.
Особливої уваги справа набуває через звинувачення не лише у фінансовому кіберзлочинстві, а й у використанні DanaBot для шпигунства. У матеріалах справи йдеться, що варіант цього ПЗ застосовувався для атак на військові, урядові та неурядові структури. Прокурор США Білл Ессейлі зазначив, що подібне ПЗ завдає мільйонних збитків і шкодить навіть високочутливим установам.
Аналіз компанії Crowdstrike показав, що кампанія з використання DanaBot почалася в Україні, Польщі, Італії, Німеччині, Австрії та Австралії, а потім охопила фінансові установи у США та Канаді. У 2021 році зафіксовано атаку на ланцюг постачання через популярний інструмент JavaScript NPM.
За словами дослідниці з компанії Proofpoint Селени Ларсон, такий масштаб і універсальність DanaBot зробили його одним із найпотужніших кіберінструментів злочинного світу. У деяких випадках, підкреслює вона, цей інструмент використовували для кампаній, пов’язаних із російськими державними інтересами.
Так, у 2019–2020 роках DanaBot, за інформацією Мін’юсту, використовували проти західних урядовців у фішингових атаках, що маскувалися під повідомлення від ОБСЄ та держструктур Казахстану. А після початку повномасштабної війни в Україні у 2022 році його застосовували для DDoS-атак на українські урядові ресурси, зокрема поштові сервери Міністерства оборони та РНБО.
Слідчий DCIS Еліотт Петерсон повідомив, що деякі хакери були виявлені після того, як випадково або навмисно заразили свої власні пристрої програмою DanaBot. Завдяки цим помилкам правоохоронці змогли отримати дані, які дозволили ідентифікувати частину зловмисників.
Хоча оператори DanaBot наразі залишаються на волі, викриття масштабної кіберзлочинної мережі стало важливим кроком у боротьбі з міжнародним хакерством. Тепер їхні імена відомі й вони можуть бути спіймані при перетині кордону однієї з цивілізованих країн. За словами Адама Мейерса з Crowdstrike, такі операції завдають серйозного удару по можливостях зловмисників і змушують їх діяти обережніше.