Електронската пошта пристигна во поштенските сандачиња(можеби илјадници меилови) низ целиот свет на 15 јануари 2020 година, најавена како најново ажурирање од меѓународните набљудувачи кои ја следат ситуацијата во источна Украина.
Резимето со точки, идентично со оние од Организацијата за безбедност и соработка во Европа (ОБСЕ), беше проследено со забелешка „Целосен извештај во прилог“, заедно со лозинка за пристап до приложениот извештај.
Ако немавте среќа и кликнавте на компресираниот документ во прилог, несвесно лансиравте вирус што го поврза вашиот компјутер со глобална мрежа од заразени компјутери - техничкиот термин е бот - наречен DanaBot.
Ботот бил произведен во Русија. И, според истражувачите и агенциите за спроведување на законот, тој се користел не само за кривични дела како што се кражба на информации за кредитни картички, броеви на банкарски сметки и криптовалутни паричници, туку и за шпионажа од страна на руските разузнавачки агенции.
Минатиот месец, властите во десетина земји објавија дека го исклучиле малициозниот софтвер DanaBot.
Министерството за правда на Соединетите Држави, исто така, откри обвинение старо 3 години со кое се товарат 16 лица, главно Руси, за водење или користење на ботот, чија цел била „кражба на податоци како што се банкарски сметки, сметки за е-пошта, сметки на социјални медиуми и паричници за криптовалути“.
Помалку забележано, сепак, беше она што го опиша придружната изјава под заклетва од агент на ФБИ и самото обвинение: втората варијанта на ботот, наречена „Варијанта за шпионажа“, која наводно „се користела за таргетирање на воени, дипломатски, владини и невладини организации“.
„Овие активности веројатно биле спроведени за да се усогласат со целите на шпионажата на руската влада“, наведува Proofpoint, истражувачка компанија со седиште во Калифорнија, која беше меѓу првите што почнаа да ги документираат активностите на ботот пред повеќе од седум години.
Руско преклопување
Преклопувањето помеѓу руските сајбер криминалци и руските разузнавачки агенции е опширно документирано во текот на изминатите 25 години, како и процесуирано.
Трите главни руски безбедносни агенции - Федералната служба за безбедност, Службата за надворешно разузнавање и Главната дирекција за разузнавање на Генералштабот - имаат големи сајбер капацитети, иако не сите се вклучуваат во злонамерни дејствија како што се „Рансомвер“(Ransomware) или таканаречени банкарски тројанци, ниту пак тесно соработуваат со хакери.
Рансомверот е злонамерен компјутерски код кој, откако ќе биде лансиран од несвесен примател, го заклучува компјутерот или компјутерскиот сервер. За да го отклучи, примателот обично мора да исплати откуп, обично тешко пронаоѓачки криптовалути како БитКоин или Етереум, до испраќачот.
Пред повеќе од една деценија, главната сајбер единица на Федералната служба за безбедност, позната како ФСБ, вработи поранешен хакер како заменик-директор.
Единицата, позната како Центар 18, беше вмешана од американските службеници во хакирање на американски политички оперативци за време на претседателските избори во 2016 година. Главните директори за разузнавање, попознати како ГРУ, во исто време спроведоа своја паралелна операција за хакирање.
Центар 18 подоцна се распадна во срамен скандал што резултираше со покренување обвиненија за државно предавство против неговиот тогашен директор, хакерот-заменик-директор и уште двајца други.
Истата единица наводно регрутирала уште еден руски хакер по име Алексеј Белан за помош во кражбата на милијарди е-пошта сметки на Yahoo, една од најголемите кражби од ваков вид во историјата.
Руска група наречена Evil Corp. беше одговорна за еден од најпроблематичните кодови за рансомвер во историјата, наречен Dridex или Bugat. Нејзиниот основач, Максим Јакубец, беше обвинет од Министерството за правда на САД во 2019 година за откуп, кој наводно резултирал со банкарска измама од околу 100 милиони долари.
Дедото на Јакубец е поранешен офицер на специјалните сили на ФСБ, кој „го искористил својот статус и контакти за да го олесни развивањето односи на Evil Corp со службеници на руските разузнавачки служби“, соопшти Министерството за финансии на САД во 2024 година.
Според американските документи за обвинение, алатката DanaBot наводно ја развиле двајца Руси од сибирскиот град Новосибирск: Александар Степанов и Артјом Калинкин.
За месечна такса од околу 3000 или 4000 долари, ботот бил изнајмен или даван под закуп на други заинтересирани хакери кои потоа го користеле за кражба на банкарски податоци или информации за кредитни картички или дури и криптовалути, според истражувачите.
Истражувачите го нарекоа тој тип модел за сајбер криминал како „Криминал за услуга“ или „Малвер за услуга“.
Пред да биде исклучен, DanaBot инфицирал 300 000 компјутери низ целиот свет, соопштија официјални лица.
Но, постоела и втора варијација на DanaBot која исто така била создадена, „Варијанта за шпионажа“, за која експертите велат дека е невообичаена. Таа варијанта била користена во октомври 2019 и јануари 2020 година, според истражувачите, за шпионажа против владини субјекти, воени агенции, па дури и невладини организации.
Пораките се претставуваа како од Организацијата за безбедност и соработка во Европа (ОБСЕ), која е трансатлантска организација со седиште во Виена, која ги следи изборите, ја промовира демократијата и спроведува мониторинг на мировните операции, вклучително и во Украина. Неименуван владин ентитет на Казахстан, исто така, беше претставен како лажен.
„Она што го разликува DanaBot од типичните операции за кибер криминал, сепак, е толеранцијата на руската влада кон нејзините активности“, соопшти CrowdStrike, друга компанија за сајбер истражувања што ги следеше активностите на DanaBot.
„И покрај тоа што има доволно можности да истражува и да ги гони овие криминалци што работат во рамките на руските граници, нема јавни докази дека властите презеле правни мерки. Шема што сугерира дека овие сајбер криминалци служат како посреднички сили што вршат притисок врз западните земји“, наведува компанијата.
Во изјавата поднесена заедно со обвинението од ФБИ, агент на ФБИ рече дека службениците за спроведување на законот успеале да запленат компјутерски сервери за да набљудуваат како дејствува малициозниот софтвер.
Агентот, исто така, рече дека креаторите на ботот ги заразиле своите компјутери, можеби намерно за да го тестираат или подобрат малициозниот софтвер. Сепак, тоа резултираше со ненамерна кражба на чувствителни податоци од креаторите на ботот, што помага да се идентификуваат.
„Една од опасностите од извршување сајбер криминал е тоа што криминалците понекогаш по грешка ќе се инфицираат со сопствен малициозен софтвер“, се вели во изјавата на агентот кој сведочеше под заклетва.
Избегнување на руските власти
Еден поранешен руски хакер, кој не беше овластен јавно да зборува, рече дека аранжманот со DanaBot (криминалната и шпионска варијанта) обично го користеле руските сајбер криминалци како начин да избегнат проблеми од руските безбедносни агенции.
Исто така, руските хакери избегнуваат таргетирање на руски компании или субјекти за да избегнат контрола од владата.
„Ова е очекувано. Варијанта што служи и за финансиски мотивации и за да ја одржи државата среќна“, изјави лицето за Радио Слободна Европа.
„Кога сте успешен криминалец и не сакате да одите во затвор, барате начини. Можеби дури и проактивно контактирање со пријател на пријател. А сега имате „криша“ (руски термин што значи „покрив“ или „заштита“).
И покрај акумулираните докази за користење криминални актери од страна на руските безбедносни агенции, нема ништо што укажува дека безбедносните агенции се одвратени од оваа практика.
„Не им е гајле сè додека функционира“, рече хакерот.
