Kako je DanaBot olakšao krađu podataka i špijuniranje koje sponzorira Rusija

E-mail je stigao u inboxe - moguće hiljade - širom svijeta 15. januara 2020. godine, a predstavljen je kao najnovije ažuriranje od međunarodnih posmatrača koji prate situaciju u istočnoj Ukrajini.

Nakon sažetka s tačkama, identičnog onima Organizacije za sigurnost i saradnju u Evropi (OSCE), uslijedila je napomena "Potpuni izvještaj u prilogu", zajedno s lozinkom za pristup priloženom izvještaju.

Ako ste imali peh i kliknuli na komprimirani prilog, nesvjesno biste pokrenuli virus koji je povezao vaš računar s globalnom mrežom zaraženih računara - tehnički termin je bot - nazvan DanaBot.

Bot je ruske proizvodnje. Prema istraživačima i agencijama za provođenje zakona, korišten je ne samo za zločine poput krađe podataka o kreditnim karticama, brojeva bankovnih računa i kriptovalutnih novčanika, već i za špijunažu od strane ruskih obavještajnih agencija.

Prošlog mjeseca, vlasti u dvanaest zemalja objavile su da su isključile DanaBot.

Ministarstvo pravosuđa SAD-a takođe je otkrilo tri godine staru optužnicu kojom se 16 osoba, uglavnom Rusa, tereti za vođenje ili korištenje bota, čiji je cilj bio "krađa podataka... kao što su bankovni računi, e-mail računi, računi na društvenim mrežama i kriptovalutni novčanici".

Međutim, manje je zapaženo ono što je opisano u pratećoj izjavi pod zakletvom agenta FBI-a, kao i u samoj optužnici: druga varijanta bota, nazvana "špijunska varijanta", koja je navodno "korištena za ciljanje vojnih, diplomatskih, vladinih i nevladinih organizacija".

"Ove aktivnosti su vjerovatno provedene u skladu s ciljevima špijunaže ruske vlade", rekao je Proofpoint, istraživačka kompanija sa sjedištem u Kaliforniji koja je bila među prvima koja je počela dokumentirati aktivnosti bota prije više od sedam godina.

Rusko preklapanjePreklapanje između ruskih sajber kriminalaca i ruskih obavještajnih agencija je samo po sebi opširno dokumentovano u proteklih 25 godina - a da ne spominjemo da je i procesuirano.

Tri glavne ruske sigurnosne agencije - Federalna služba sigurnosti, Služba za vanjsku obavještajnu službu i Glavna obavještajna uprava Generalštaba - imaju velike sajber kapacitete, iako se ne bave sve zlonamjernim radnjama poput ransomwarea ili takozvanih bankarskih trojanaca, niti blisko sarađuju s hakerima.

Ransomware je zlonamjerni računarski kod koji, nakon što ga pokrene nesvjesni primalac, zaključava računar ili računarski server. Da bi ga otključao, primalac obično mora poslati otkupninu pošiljatelju - obično kriptovalute koje je teško pratiti poput BitCoina ili Ethereuma.

Prije više od deset godina, glavna sajber jedinica Federalne sigurnosne službe, poznata kao FSB, zaposlila je bivšeg hakera kao svog zamjenika direktora.

Jedinica, poznata kao Centar 18, bila je umiješana od strane američkih zvaničnika u hakovanje američkih političkih operativaca tokom predsjedničkih izbora 2016. godine. Glavni obavještajni direktori, poznatiji kao GRU, proveli su vlastitu paralelnu operaciju hakovanja u isto vrijeme.

Centar 18 je kasnije upao u neugodni skandal koji je rezultirao optužbama za državnu izdaju protiv njegovog tadašnjeg direktora, hakera-zamjenika direktora i još dvije osobe.

Ista jedinica je navodno regrutovala još jednog ruskog hakera po imenu Aleksei Belan za pomoć u krađi milijardi Yahoo e-mail računa, što je jedna od najvećih krađa te vrste u historiji.

Ruska grupa pod nazivom Evil Corp. bila je odgovorna za jedan od najproblematičnijih ransomware kodova u historiji pod nazivom Dridex ili Bugat. Njenog osnivača, Maksima Jakubetsa, optužilo je američko Ministarstvo pravde 2019. godine za ransomware, koji je navodno rezultirao bankarskom prevarom od oko 100 miliona dolara.

Jakubetov tast je bivši oficir specijalnih snaga FSB-a, koji je "iskoristio svoj status i kontakte kako bi olakšao razvoj odnosa Evil Corpa sa zvaničnicima ruskih obavještajnih službi", saopštilo je Ministarstvo finansija SAD-a 2024. godine.

Prema američkim optužnicama, alat DanaBot su navodno razvila dva Rusa iz sibirskog grada Novosibirska: Aleksandar Stepanov i Artjom Kalinkin.

Za mjesečnu naknadu -- oko 3.000 ili 4.000 dolara -- bot je iznajmljivan ili davan u zakup drugim zainteresiranim hakerima koji su ga zatim koristili za krađu bankovnih podataka ili podataka o kreditnim karticama ili čak kriptovalutama, prema istraživačima.

Istraživači su taj tip modela za sajber kriminal nazvali "Zločin kao usluga" ili "Zlonamjerni softver kao usluga".

Prije nego što je ugašen, DanaBot je zarazio 300.000 računara širom svijeta, rekli su zvaničnici.

Ali, postojala je i druga varijacija DanaBota koja je takođe napravljena, rekli su vlasti: "špijunska varijanta", za koju stručnjaci kažu da je neobična.

Ta varijanta je korištena - u oktobru 2019. i januaru 2020. godine, prema istraživačima - za špijunažu protiv vladinih entiteta, vojnih agencija, pa čak i nevladinih organizacija.

Poruke su se lažno predstavljale kao Organizacija za sigurnost i saradnju u Evropi (OSCE), transatlantska organizacija sa sjedištem u Beču koja prati izbore, promovira demokratiju i provodi nadzor mira, uključujući i one u Ukrajini. Takođe se lažno predstavljao i neimenovani entitet kazahstanske vlade.

"Međutim, ono što razlikuje DanaBot od tipičnih operacija [cyber kriminala] jeste tolerancija ruske vlade prema njegovim aktivnostima", rekla je CrowdStrike, još jedna kompanija za sajber istraživanje koja je pratila aktivnosti DanaBota.

"Uprkos tome što imaju dovoljne kapacitete za istragu i krivično gonjenje ovih kriminalaca koji djeluju unutar ruskih granica, ne postoje javni dokazi da su vlasti poduzele pravne mjere", saopštila je kompanija.

"Obrazac koji sugerira da ovi sajber kriminalci služe kao posredničke sile koje vrše pritisak na zapadne nacije, a istovremeno održavaju uvjerljivo poricanje za rusku državu."

U izjavi FBI-a podnesenoj uz optužnicu, agent FBI-a je rekao da su službenici za provođenje zakona uspjeli zaplijeniti računarske servere kako bi promatrali kako se zlonamjerni softver širi.

Agent je takođe rekao da su kreatori bota zarazili vlastite računare, možda namjerno kako bi testirali ili poboljšali zlonamjerni softver. Međutim, to je rezultiralo nenamjernom krađom osjetljivih podataka od kreatora bota, što pomaže u njihovoj identifikaciji.

"Jedna od opasnosti počinjenja sajber kriminala je da će se kriminalci ponekad greškom zaraziti vlastitim zlonamjernim softverom", navodi se u izjavi.

Izbjegavanje ruskih vlastiJedan bivši ruski haker, koji nije bio ovlašten da javno govori, rekao je da ruski sajber kriminalci obično koriste DanaBot aranžman - kriminalnu varijantu i varijantu za špijunažu - kao način izbjegavanja problema od strane ruskih sigurnosnih agencija.

Takođe, ruski hakeri izbjegavaju ciljanje ruskih kompanija ili subjekata kako bi izbjegli nadzor vlade.

"Ovo se očekuje. Varijanta koja služi i finansijskim motivacijama i održava državu sretnom“, rekla je ta osoba za Radio Slobodna Evropa.

"Kada ste uspješan kriminalac i ne želite ići u zatvor, tražite načine. Možda čak i proaktivno kontaktirate prijatelja prijatelja. I sada imate 'krišu'" - ruski termin koji znači "krov" ili "zaštita".

Uprkos nagomilanim dokazima da ruske sigurnosne agencije koriste kriminalne aktere, nema ništa što bi ukazivalo na to da su sigurnosne agencije odvraćene od te prakse.

"Nije ih briga sve dok funkcioniše", rekao je haker.