Skrivena prijetnja: Kako je zlonamjerni softver DanaBot olakšao krađu podataka i špijuniranje koje sponzorira ruska država

Nakon sažetka s tačkama, identičnog onima Organizacije za sigurnost i saradnju u Evropi (OSCE), uslijedila je napomena "Potpuni izvještaj u prilogu", zajedno sa lozinkom za pristup priloženom izvještaju.

Ako ste imali nesreću da kliknete na komprimirani prilog, nenamjerno biste pokrenuli virus koji je povezao vaš računar sa globalnom mrežom zaraženih računara - tehnički termin je bot - nazvan DanaBot.

Bot je bio ruske proizvodnje. I, prema istraživačima i agencijama za provođenje zakona, korišten je ne samo za zločine poput krađe podataka o kreditnim karticama, brojeva bankovnih računa i novčanika kriptovaluta, već i za špijunažu od strane ruskih obavještajnih agencija.

Prošlog mjeseca, vlasti u 12 zemalja objavile su da su isključile DanaBot.

 

Američko Ministarstvo pravosuđa, također, je otkrilo tri godine staru optužnicu kojom se 16 osoba, uglavnom Rusa, tereti za vođenje ili korištenje bota, čiji je cilj bio "krađa podataka... kao što su bankovni računi, e-mail računi, računi na društvenim mrežama i novčanici kriptovaluta".

Međutim, manje je zapaženo ono što je opisano u pratećoj izjavi pod zakletvom agenta FBI-a, kao i u samoj optužnici: druga varijanta bota, nazvana "Varijanta špijunaže", koja je navodno "korištena za ciljanje vojnih, diplomatskih, vladinih i nevladinih organizacija".

"Ove aktivnosti su vjerovatno provedene u skladu s ciljevima špijunaže ruske vlade", saop'eno je iz Proofpoint, istraživačke kompanije sa sjedištem u Kaliforniji koja je bila među prvima koja je počela dokumentirati aktivnosti bota prije više od sedam godina.

 

Preklapanje s Rusijom

 

Preklapanje između ruskih cyber kriminalaca i ruskih obavještajnih agencija samo po sebi je opsežno dokumentirano u posljednjih 25 godina - a da ne spominjemo da je procesuirano.

Tri glavne ruske sigurnosne agencije - Federalna sigurnosna služba, Vanjska obavještajna služba i Glavna obavještajna uprava Generalštaba - imaju velike cyber kapacitete, iako se ne bave sve zlonamjernim radnjama poput ransomwarea ili takozvanih bankarskih trojanaca, niti blisko sarađuju sa hakerima.

Ransomware je zlonamjerni računarski kod koji, nakon što ga pokrene primatelj koji toga nije ni svjestan, zaključava računar ili računarski server. Da bi ga otključao, primatelj obično mora poslati otkupninu - obično kriptovalute koje je teško pratiti poput BitCoina ili Ethereuma - pošiljatelju.

Prije više od 10 godina, glavna cyber jedinica Federalne sigurnosne službe, poznata kao FSB, zaposlila je bivšeg hakera na poziciju zamjenika direktora.

Jedinica, poznata kao Centar 18, bila je optužena od strane američkih zvaničnika za miješanje u hakovanje američkih političkih operativaca tokom predsjedničkih izbora 2016. godine. Glavni obavještajni direktori, poznatiji kao GRU, proveli su vlastitu paralelnu operaciju hakovanja u isto vrijeme.

Centar 18 je kasnije upao u neugodni skandal koji je rezultirao podizanjem optužnica za državnu izdaju protiv njegovog tadašnjeg direktora, hakera-zamjenika direktora i još dvojice ljudi.

Ista jedinica je navodno regrutovala još jednog ruskog hakera po imenu Aleksej Belan za pomoć u krađi milijardi Yahoo e-mail računa, jednoj od najvećih krađa te vrste u historiji.

Ruska grupa pod nazivom Evil Corp. bila je odgovorna za jedan od najproblematičnijih ransomware kodova u historiji pod nazivom Dridex ili Bugat. Njenog osnivača, Maksima Jakubeca, optužilo je američko Ministarstvo pravde 2019. godine za ransomware, koji je navodno rezultirao bankarskom prevarom teškom oko 100 miliona dolara.

Jakubecov tast je bivši oficir specijalnih snaga FSB-a, koji je "iskoristio svoj status i kontakte kako bi olakšao razvoj odnosa Evil Corp-a sa zvaničnicima ruskih obavještajnih službi", saopćilo je američko Ministarstvo finansija 2024. godine.

Prema američkim optužnicama, alat DanaBot su navodno razvila dva Rusa iz sibirskog grada Novosibirska: Aleksandar Stepanov i Artjom Kalinkin.

Za mjesečnu naknadu - oko 3.000 ili 4.000 dolara - bot je iznajmljivan ili davan u zakup drugim zainteresiranim hakerima koji su ga zatim koristili za krađu bankarskih podataka ili podataka o kreditnim karticama ili čak kriptovalutama, prema istraživačima.

Istraživači su taj tip modela za cyber kriminal nazvali "Zločin kao usluga" ili "Zlonamjerni softver kao usluga".

Prije nego što je ugašen, DanaBot je zarazio 300.000 računara širom svijeta, rekli su zvaničnici.

Ali postojala je i druga varijacija DanaBota koja je također izgrađena, rekle su vlasti: "Varijanta za špijunažu", za koju stručnjaci kažu da je neobična.

Ta varijanta je korištena - u oktobru 2019. i januaru 2020. godine, prema istraživačima - za špijunažu protiv vladinih institucija, vojnih agencija, pa čak i nevladinih organizacija.

Poruke su predstavljale Organizaciju za sigurnost i saradnju u Evropi (OSCE), transatlantsku organizaciju sa sjedištem u Beču koja prati izbore, promovira demokratiju i provodi nadzor mirovnih operacija, uključujući i one u Ukrajini. Također su se predstavljali i kao neimenovana kazahstanske vlade.

„Ono što razlikuje DanaBot od tipičnih operacija [cyber kriminala] jeste tolerancija ruske vlade prema njegovim aktivnostima“, saopćeno je iz CrowdStrike, još jedne kompanije za cyber istraživanje koja je pratila aktivnosti DanaBota.

„Uprkos tome što imaju dovoljne kapacitete za istragu i krivično gonjenje ovih kriminalaca koji djeluju unutar ruskih granica, ne postoje javni dokazi da su vlasti poduzele pravne mjere“, saoćeno je iz kompanije.

„Obrazac koji sugerira da ovi cyber kriminalci služe kao posredničke sile koje vrše pritisak na zapadne nacije, a istovremeno održavaju uvjerljivo poricanje za rusku državu“.

U izjavi FBI-a podnesenoj uz optužnicu, agent FBI-a je rekao da su službenici za provođenje zakona uspjeli zaplijeniti računarske servere kako bi promatrali kako se zlonamjerni softver širi.

Agent je, također, rekao da su kreatori bota zarazili vlastite računare, možda namjerno kako bi testirali ili poboljšali zlonamjerni softver. Međutim, to je rezultiralo nenamjernom krađom osjetljivih podataka od kreatora bota, što pomaže u njihovoj identifikaciji.

"Jedna od opasnosti od počinjenja cyber kriminala je ta što će se kriminalci ponekad greškom zaraziti vlastitim zlonamjernim softverom", navodi se u izjavi pod zakletvom.

 

Izbjegavanje ruskih vlasti

 

Jedan bivši ruski haker, koji nije bio ovlašten da javno govori, rekao je da su aranžman DanaBot - kriminalna varijanta i varijanta za špijunažu - obično koristili ruski cyber kriminalci kao način da izbjegnu probleme od ruskih sigurnosnih agencija.

Također, ruski hakeri izbjegavaju ciljanje ruskih kompanija ili subjekata kako bi izbjegli nadzor vlade.

"Ovo se očekuje. Varijanta koja služi i finansijskim motivacijama i održava državu sretnom", rekla je osoba za RFE/RL.

"Kada ste uspješan kriminalac i ne želite ići u zatvor, tražite načine. Možda čak i proaktivno kontaktirate prijatelja od prijatelja. I sada imate 'krišu'" - ruski izraz koji znači "krov" ili "zaštita".

Uprkos nagomilanim dokazima o tome da ruske sigurnosne agencije koriste kriminalne aktere, nema ništa što bi ukazivalo na to da su sigurnosne agencije odustale od te prakse.

„Nije ih briga sve dok funkcionira“, rekao je haker.