Прихована загроза та російський слід. Хто стоїть за програмою-вимагачем DanaBot

15 січня 2020 року тисячам людей у всьому світі надійшов електронний лист. Його подавали як черговий дайджест від міжнародних спостерігачів, які відстежують ситуацію на сході України. Зміст і оформлення листа були ідентичні тим, які розсилає Організація з безпеки і співробітництва в Європі (ОБСЄ), і супроводжувалися приміткою: “Повний звіт у вкладенні”, а також паролем для доступу до доданого файлу.

Якщо людина намагалася клікнути на іконку вкладеного файлу, вона, сама того не знаючи, запускала вірус, який підключав її комп’ютер до глобальної мережі заражених пристроїв під назвою DanaBot, зазначає Радіо Свобода.

Цей бот був створений у Росії. За даними дослідників і правоохоронних органів, його використовували не тільки для таких злочинів, як крадіжка даних банківських карт, номерів рахунків і криптовалютних гаманців, а й для шпигунства в інтересах російських розвідувальних служб.

Бот із подвійним обличчям

Минулого місяця влада понад десяти країн об’явила, що їм вдалося порушити роботу DanaBot. Міністерство юстиції США також розсекретило обвинувальний висновок трирічної давності, в якому 16 осіб, переважно росіян, звинувачуються у створенні та використанні цього бота з метою “крадіжки даних… таких як банківські рахунки, електронні поштові скриньки, акаунти в соцмережах і криптовалютні гаманці”.

Менш поміченим залишився той факт, що в заяві агента ФБР, яка супроводжувала обвинувальний висновок, а також у самому обвинуваченні описувався другий варіант бота, який отримав назву “шпигунський варіант” (“Espionage Variant”). Стверджується, що його “використовували для атак на військові, дипломатичні, державні та неурядові організації”.

“Ці дії, судячи з усього, здійснювалися відповідно до цілей російського державного шпигунства”, – заявила компанія Proofpoint з Каліфорнії, яка однією з перших почала документувати активність DanaBot понад сім років тому.

Російський слід

Перетини між російськими кіберзлочинцями і спецслужбами Росії добре задокументовані за останні 25 років і не раз ставали предметом кримінального розгляду.

Три основні російські спецслужби – Федеральна служба безпеки (ФСБ), Служба зовнішньої розвідки (СЗР) і Головне розвідувальне управління Генерального штабу (ГРУ) – мають значні кіберможливості. Однак не всі з них залучені до зловмисних дій, як-от розповсюдження програм-здирників або так званих банківських троянів, і не всі тісно співпрацюють із хакерами.

Програма-здирник – це шкідливий код, який, будучи запущеним жертвою, яка нічого не підозрює, блокує комп’ютер або сервер. Щоб розблокувати його, жертва, як правило, повинна відправити відправнику викуп – зазвичай у криптовалютах, які важко відстежити, таких як Біткойн або Етеріум.

Понад десять років тому головний кіберпідрозділ ФСБ найняв колишнього хакера на посаду заступника директора.

Цей підрозділ, відомий як Центр 18, за даними американських офіційних осіб, був замішаний у зломі акаунтів американських політичних діячів під час президентських виборів 2016 року. Власну хакерську операцію в цей же час паралельно з ФСБ здійснювало і ГРУ.

Згодом Центр 18 опинився в центрі гучного скандалу, що закінчився звинуваченнями в державній зраді на адресу його тодішнього керівника, колишнього хакера, і ще двох осіб. Прокурор запросив 20 років колонії суворого режиму для колишнього співробітника ФСБ Сергія Михайлова і начальника відділу “Лабораторії Касперського”, колишнього майора МВС Руслана Стоянова.

Вважається, що цей самий підрозділ завербував ще одного російського хакера, Олексія Бєлана, для допомоги в крадіжці мільярдів акаунтів електронної пошти Yahoo, що стало однією з найбільших крадіжок такого роду в історії.

Російське угруповання під назвою Evil Corp несе відповідальність ще за один із найнебезпечніших вірусів-вимагачів в історії – Dridex (також відомий як Bugat). Засновник Evil Corp, Максим Якубець, був звинувачений Міністерством юстиції США 2019 року за поширення цієї програми, яка, як стверджується, призвела до шахрайства в банківській сфері на суму близько 100 мільйонів доларів.

За даними Міністерства фінансів США за 2024 рік, тесть Якубця – колишній офіцер спецпризначенців ФСБ, який “використовував своє становище і зв’язки для сприяння розвитку контактів Evil Corp із представниками російських розвідувальних служб”. Зв’язок Якубця з ФСБ у 2019 році вперше документально підтвердило у власному розслідуванні Радіо Свобода.

Згідно з обвинувальним висновком, DanaBot був розроблений двома росіянами з Новосибірська: Олександром Степановим і Артемом Калінкіним.

За даними слідчих, бот здавався в оренду іншим хакерам за щомісячну плату в розмірі близько 3 000-4 000 доларів. Ці хакери використовували його для крадіжки банківських даних, інформації з кредитних карток і криптовалют.

В американських судових документах така модель названа “злочинність як послуга” (Crime as a Service) або “шкідливе ПЗ як послуга” (Malware as a Service).

До того, як мережу було відключено, DanaBot, за словами офіційних осіб, заразив 300 000 комп’ютерів по всьому світу. Однак, як стверджує влада, існував і другий варіант DanaBot – так званий “шпигунський”, який експерти визнали незвичайним.

Цей варіант DanaBot використовували в жовтні 2019 року і січні 2020 року для шпигунства проти державних установ, військових відомств і навіть неурядових організацій.

Листи маскувалися під повідомлення від Організації з безпеки і співробітництва в Європі (ОБСЄ) – організації зі штаб-квартирою у Відні, яка займається моніторингом виборів, просуванням демократії та наглядом за миротворчими ініціативами в усьому світі, включно з Україною. У фішингових листах також імітували стиль і оформлення неназваної казахстанської державної установи.

“Те, що відрізняє DanaBot від типових [кіберзлочинних] операцій, – це терпимість російської держави до його діяльності”, – заявила компанія CrowdStrike, ще одна дослідницька організація, яка відстежувала активність DanaBot.

“Не дивлячись на наявність усіх можливостей для розслідування і притягнення до відповідальності злочинців, що діють на території Росії, немає ніяких публічних доказів того, що влада зробила для цього будь-які юридичні кроки”, – наголошується в заяві компанії. “Це відповідає схемі, за якої кіберзлочинці виступають у ролі проксі-сил, що чинять тиск на західні країни, при цьому забезпечуючи російській державі правдоподібне заперечення причетності”, – вважають експерти CrowdStrike.

У заяві агента ФБР, що додається до обвинувального висновку, йдеться, що правоохоронним органам вдалося вилучити сервери, щоб спостерігати за міграцією шкідливого ПЗ. Агент також вказав, що творці бота заразили свої власні комп’ютери – можливо, навмисно – щоб протестувати або поліпшити шкідливу програму. Однак це призвело до того, що конфіденційні дані самих авторів були випадково вкрадені, що допомогло їх ідентифікувати.

“Одна з небезпек кіберзлочинності полягає в тому, що злочинці іноді помилково заражають власні пристрої своєю ж шкідливою програмою”, – йдеться в записці, що супроводжує обвинувальний висновок.

Тактика ухилення

Колишній російський хакер, не уповноважений говорити публічно, розповів “Радіо Свобода”, що схема з двома варіантами DanaBot – один кримінальний, інший шпигунський – типова для російських кіберзлочинців і використовується як спосіб уникнути проблем з боку російських спецслужб.

Крім того, російські хакери уникають атак на російські компанії або установи, щоб не привертати увагу державних органів.

“Це очікувано. Один варіант – для фінансової вигоди, інший – щоб держава була задоволена”, – каже ця людина. “Коли ти успішний злочинець і не хочеш потрапити до в’язниці, ти шукаєш варіанти. Іноді навіть сам виходиш на когось через знайомих. І ось у тебе вже є “дах”, – додає він.

За словами співрозмовника Радіо Свобода, незважаючи на накопичені докази того, що російські спецслужби використовують кіберзлочинців у своїх цілях, немає ознак того, що вони відмовилися від такої практики. “Їм все одно, поки це працює”, – каже колишній хакер.