Autoritetet federale akuzojnë 16 rusë të dyshuar për lidhje me botnet-e të përdorura në sulme kibernetike dhe spiunazh
Ekosistemi i hakerave në Rusi, ndoshta më shumë se kudo tjetër në botë, ka kohë që i ka zbehur vijat ndarëse midis krimit kibernetik, luftës kibernetike të sponsorizuar nga shteti dhe spiunazhit. Tani, një padi ndaj një grupi shtetasish rusë dhe shkatërrimi i rrjetit të tyre të gjerë botnet ofron shembullin më të qartë në vite se si një operacion i vetëm me programe keqdashëse dyshohet se ka mundësuar operacione hakerimi aq të larmishme sa ransomware, sulme kibernetike gjatë kohës së luftës në Ukrainë dhe spiunazh kundër qeverive të huaja.
Departamenti i Drejtësisë i SHBA-së njoftoi sot akuza penale kundër 16 individëve që autoritetet e zbatimit të ligjit i kanë lidhur me një operacion malware të njohur si DanaBot, i cili sipas një ankese infektoi të paktën 300,000 makina në të gjithë botën. Njoftimi i Departamentit të Drejtësisë për akuzat e përshkruan grupin si “me bazë në Rusi” dhe emëron dy nga të dyshuarit, Aleksandr Stepanov dhe Artem Aleksandrovich Kalinkin, si banorë të Novosibirsk, Rusi. Pesë të dyshuar të tjerë janë emëruar në aktakuzë, ndërsa nëntë të tjerë identifikohen vetëm me pseudonimet e tyre. Përveç këtyre akuzave, Departamenti i Drejtësisë thotë se Shërbimi i Hetimit Penal të Mbrojtjes (DCIS) – një krah hetimi penal i Departamentit të Mbrojtjes – kreu sekuestrime të infrastrukturës DanaBot në të gjithë botën, përfshirë në SHBA.
Përveç pretendimit se si DanaBot u përdor në hakerimin kriminal me qëllim fitimi, aktakuza bën edhe një pretendim më të rrallë – përshkruan se si një variant i dytë i malware-it që thotë se u përdor në spiunazh kundër objektivave ushtarake, qeveritare dhe të OJQ-ve. “Malware-i i përhapur si DanaBot dëmton qindra mijëra viktima në të gjithë botën, duke përfshirë entitete të ndjeshme ushtarake, diplomatike dhe qeveritare, dhe shkakton humbje prej miliona dollarësh”, shkroi në një deklaratë avokati amerikan Bill Essayli.
Që nga viti 2018, DanaBot—i përshkruar në padinë penale si “malware tepër pushtues”—ka infektuar miliona kompjuterë në të gjithë botën, fillimisht si një trojan bankar i projektuar për të vjedhur direkt nga pronarët e atyre PC-ve me karakteristika modulare të projektuara për vjedhjen e kartave të kreditit dhe kriptomonedhave. Megjithatë, për shkak se krijuesit e tij dyshohet se e shitën atë në një model “bashkëpunëtor” që e bëri të disponueshëm për grupe të tjera hakerash për 3,000 deri në 4,000 dollarë në muaj, ai shpejt u përdor si një mjet për të instaluar forma të ndryshme të malware në një gamë të gjerë operacionesh, duke përfshirë ransomware. Sipas një analize të operacionit nga firma e sigurisë kibernetike Crowdstrike , objektivat e tij u përhapën shpejt nga viktimat fillestare në Ukrainë, Poloni, Itali, Gjermani, Austri dhe Australi në institucionet financiare amerikane dhe kanadeze.
Në një moment në vitin 2021, sipas Crowdstrike, Danabot u përdor në një sulm të zinxhirit të furnizimit të softuerëve që fshehu malware-in në një mjet kodimi JavaScript të quajtur NPM me miliona shkarkime javore. Crowdstrike gjeti viktima të atij mjeti të kompromentuar në të gjithë industrinë e shërbimeve financiare, transportit, teknologjisë dhe medias.
Kjo shkallë dhe shumëllojshmëria e gjerë e përdorimeve të tij kriminale e bënë DanaBot “një gjigant të peizazhit të krimit elektronik”, sipas Selena Larson, një studiuese e kërcënimeve të stafit në firmën e sigurisë kibernetike Proofpoint.
Më unike, megjithatë, është se DanaBot është përdorur gjithashtu herë pas here për fushata hakerimi që duket se janë të sponsorizuara nga shteti ose të lidhura me interesa të agjencive qeveritare ruse. Në vitin 2019 dhe 2020, ai u përdor për të synuar një numër të vogël zyrtarësh të qeverisë perëndimore në operacione të dukshme spiunazhi, sipas aktakuzës së Departamentit të Drejtësisë. Sipas Proofpoint , malware në ato raste u dërgua në mesazhe phishing që imitonin Organizatën për Siguri dhe Bashkëpunim në Evropë dhe një entitet qeveritar të Kazakistanit.
Pastaj, në javët e para të pushtimit në shkallë të plotë të Ukrainës nga Rusia, i cili filloi në shkurt 2022, DanaBot u përdor për të instaluar një mjet të shpërndarë të mohimit të shërbimit (DDoS) në makinat e infektuara dhe për të nisur sulme kundër serverit të email-it në internet të Ministrisë së Mbrojtjes të Ukrainës dhe Këshillit të Sigurisë dhe Mbrojtjes Kombëtare të Ukrainës.
E gjithë kjo e bën DanaBot një shembull veçanërisht të qartë se si malware-i kiberkriminal dyshohet se është adoptuar nga hakerat shtetërorë rusë, thotë Larson e Proofpoint. “Historikisht ka pasur shumë sugjerime për operatorë kiberkriminalë që shoqërohen me entitete qeveritare ruse, por nuk ka pasur shumë raportime publike mbi këto vija gjithnjë e më të paqarta”, thotë Larson. Rasti i DanaBot, thotë ajo, “është mjaft i dukshëm, sepse është dëshmi publike e kësaj mbivendosjeje ku shohim mjete të krimit elektronik të përdorura për qëllime spiunazhi”.
Në kallëzimin penal, hetuesi i DCIS, Elliott Peterson – një ish-agjent i FBI-së i njohur për punën e tij në hetimin e krijuesve të botnet Mirai – pretendon se disa anëtarë të operacionit DanaBot u identifikuan pasi infektuan kompjuterët e tyre me malware. Këto infeksione mund të kenë qenë për qëllime testimi të trojanit, ose mund të kenë qenë aksidentale, sipas Peterson. Sidoqoftë, ato rezultuan në identifikimin e informacionit në lidhje me hakerat e dyshuar që përfunduan në infrastrukturën e DanaBot, të cilën DCIS më vonë e sekuestroi. “Infeksionet e paqëllimshme shpesh rezultuan në vjedhjen e të dhënave të ndjeshme dhe kompromentuese nga kompjuteri i aktorit nga malware dhe ruajtjen e tyre në serverat DanaBot, duke përfshirë të dhëna që ndihmuan në identifikimin e anëtarëve të organizatës DanaBot”, shkruan Peterson.
Operatorët e DanaBot mbeten të lirë, por shkatërrimi i një mjeti në shkallë të gjerë në kaq shumë forma të hakerimit me origjinë ruse – si të sponsorizuara nga shteti ashtu edhe kriminale – përfaqëson një moment të rëndësishëm, thotë Adam Meyers, i cili drejton kërkimin e inteligjencës së kërcënimeve në Crowdstrike.
“Sa herë që prishni një operacion shumëvjeçar, po ndikoni në aftësinë e tyre për ta monetizuar atë. Gjithashtu krijon një boshllëk të vogël, dhe dikush tjetër do të dalë përpara dhe do ta zërë atë vend”, thotë Meyers. “Por sa më shumë t’i prishim, aq më shumë i mbajmë në pritje. Duhet ta sqarojmë situatën, ta përsërisim dhe të gjejmë objektivin tjetër.”