O ecossistema hacker na Rússia, talvez mais do que em qualquer outro lugar do mundo, há muito tempo tem borrado as linhas entre cibercrime, ciberataques patrocinados pelo Estado e espionagem. Agora, um indiciamento de um grupo de russos e a derrubada de sua extensa botnet oferece o exemplo mais claro em anos de como uma única operação de malware supostamente possibilitou operações de hacking tão variadas como ransomware, ciberataques em tempos de guerra na Ucrânia e espionagem contra governos estrangeiros.
O Departamento de Justiça dos EUA anunciou hoje acusações criminais contra 16 indivíduos ligados a uma operação de malware conhecida como DanaBot, que, de acordo com uma queixa, infectou pelo menos 300.000 máquinas ao redor do mundo. O anúncio das acusações descreve o grupo como “baseado na Rússia” e identifica dois suspeitos, Aleksandr Stepanov e Artem Aleksandrovich Kalinkin, como residentes em Novosibirsk, Rússia. Cinco outros suspeitos são nomeados na acusação, enquanto outros nove são identificados apenas por seus pseudônimos. Além dessas acusações, o Departamento de Justiça diz que o Defense Criminal Investigative Service (DCIS) – uma agência de investigação criminal do Departamento de Defesa – realizou apreensões da infraestrutura DanaBot ao redor do mundo, incluindo nos EUA.
Além de alegar como o DanaBot foi usado em hacking criminal com fins lucrativos, a acusação também faz uma alegação mais rara – descreve como uma segunda variante do malware foi usada em espionagem contra alvos militares, governamentais e de ONGs. “Malware pervasivo como o DanaBot prejudica centenas de milhares de vítimas ao redor do mundo, incluindo entidades militar, diplomática e governamental sensíveis, e causa prejuízos de muitos milhões de dólares”, escreveu o procurador dos EUA Bill Essayli em um comunicado.
Desde 2018, o DanaBot – descrito na queixa criminal como “malware incrivelmente invasivo” – infectou milhões de computadores ao redor do mundo, inicialmente como um trojan bancário projetado para roubar diretamente dos proprietários desses PCs com recursos modulares projetados para roubo de cartões de crédito e criptomoedas. Porque seus criadores supostamente o venderam em um modelo “afiliado” que o disponibilizou para outros grupos de hackers por US$ 3.000 a US$ 4.000 por mês, no entanto, logo foi usado como ferramenta para instalar diferentes formas de malware em uma ampla gama de operações, incluindo ransomware. Seus alvos também se espalharam rapidamente de vítimas iniciais na Ucrânia, Polônia, Itália, Alemanha, Áustria e Austrália para instituições financeiras nos EUA e Canadá, de acordo com uma análise da operação feita pela empresa de cibersegurança Crowdstrike.
Em um ponto em 2021, de acordo com a Crowdstrike, o Danabot foi usado em um ataque de cadeia de suprimentos de software que escondeu o malware em uma ferramenta de codificação javascript chamada NPM com milhões de downloads semanais. A Crowdstrike encontrou vítimas dessa ferramenta comprometida nas indústrias de serviços financeiros, transporte, tecnologia e mídia.
Essa escala e a grande variedade de seus usos criminais tornaram o DanaBot “um gigante do cenário de e-crime”, segundo Selena Larson, pesquisadora de ameaças da empresa de cibersegurança Proofpoint.
De forma mais exclusiva, no entanto, o DanaBot também foi usado às vezes em campanhas de hackeamento que parecem ser patrocinadas pelo Estado ou ligadas aos interesses de agências governamentais russas. Em 2019 e 2020, foi usado para visar um punhado de oficiais governamentais ocidentais em operações de espionagem aparentes, de acordo com o indiciamento do DOJ. Segundo a Proofpoint, o malware nessas instâncias foi entregue em mensagens de phishing que se passavam pela Organização para Segurança e Cooperação na Europa e uma entidade governamental do Cazaquistão.
