Pe 15 ianuarie 2020, în - cel mai probabil - mii de inboxuri de email din toată lumea a ajuns un mesaj prezentat ca fiind cea mai recentă actualizare din partea observatorilor internaționali care monitorizează situația din estul Ucrainei.
Rezumatul cu bullet points, identic cu cele ale Organizației pentru Securitate și Cooperare în Europa (OSCE), a fost urmat de mențiunea „Raportul complet în anexă”, împreună cu o parolă pentru accesarea raportului atașat.
Dacă ați fost neinspirat să dați click pe atașamentul care era într-o formă comprimată, ați lansat – fără să vă dați seama – un virus care v-a conectat computerul la o rețea globală de calculatoare infectate (termenul tehnic este bot) numită DanaBot.
Acest bot este de fabricație rusească. Și, după cum spun atât cercetătorii, cât și agențiile de aplicare a legii, a fost folosit nu numai pentru infracțiuni precum furtul de informații de pe carduri de credit, numere de conturi bancare și portofele de criptomonede, ci și pentru spionaj de către agențiile ruse de informații.
Luna trecută, autoritățile din mai multe țări au anunțat că au anihilat DanaBot-ul.
Iar Departamentul de Justiție al Statelor Unite a desecretizat un rechizitoriu vechi de trei ani prin care 16 persoane, în principal ruși, erau acuzate că au gestionat sau au folosit bot-ul, care urmărea să „fure date precum conturi bancare, conturi de e-mail, conturi de social media și portofele de criptomonede”.
Mai puțin remarcate au fost ceea ce descrie declarația însoțitoare a unui agent FBI și actul de acuzare în sine: o a doua variantă a bot-ului, denumită „Varianta de spionaj”, care ar fi fost „utilizată pentru a viza organizații militare, diplomatice, guvernamentale și neguvernamentale”.
„Aceste activități au fost probabil desfășurate pentru a se alinia obiectivelor de spionaj ale guvernului rus”, spune Proofpoint, o companie de cercetare cu sediul în California și care a fost printre primele care au început să documenteze activitățile bot-ului, în urmă cu mai bine de șapte ani.
Suprapunerea rusească
În ultimii 25 de ani, suprapunerea dintre infractorii cibernetici ruși și agențiile de informații rusești a fost documentată pe larg – ca să nu mai vorbim de urmărirea penală.
Cele trei agenții principale de securitate ruse - Serviciul Federal de Securitate (FSB), Serviciul de Informații Externe (SVR) și Direcția Principală de Informații a Statului Major General (GRU) - dispun de capacități cibernetice importante, deși nu toate se angajează în acțiuni rău intenționate precum ransomware ori așa-numiții troieni bancari, sau lucrează în strânsă colaborare cu hackerii.
Ransomware este un cod informatic malițios care, odată lansat de un destinatar neintenționat, blochează un computer sau un server informatic. Pentru a-l debloca, destinatarul trebuie, de obicei, să-i trimită expeditorului o răscumpărare - de obicei criptomonede, care sunt mai greu de urmărit - expeditorului.
În urmă cu mai bine de un deceniu, principala unitate cibernetică a FSB a angajat un fost hacker ca director adjunct.
Unitatea, cunoscută sub numele de Centrul 18, a fost legată de oficialii americani în hackingul agenților politici americani în timpul alegerilor prezidențiale din 2016. GRU și-a desfășurat propria operațiune paralelă de hacking în același timp.
Centrul 18 a implodat ulterior într-un scandal jenant, care a dus la formularea de acuzații de trădare de țară împotriva directorului de atunci, a directorului adjunct al hackerilor și a altor două persoane.
Aceeași unitate ar fi recrutat un alt hacker rus, pe nume Alexei Belan, pentru a-l ajuta să fure miliarde de conturi de email Yahoo - a fost unul dintre cele mai mari furturi de acest tip din istorie.
Un grup rusesc, numit Evil Corp., a fost responsabil pentru unul dintre cele mai problematice coduri ransomware din istorie – Dridex sau Bugat. Fondatorul său, Maxim Iakubeț, a fost inculpat de Departamentul de Justiție al SUA în 2019 pentru acest ransomware, care ar fi dus la fraude bancare în valoare de aproximativ 100 de milioane de dolari.
Socrul lui Iakubeț este un fost ofițer al forțelor speciale ale FSB; care „și-a folosit statutul și conexiunile pentru a facilita dezvoltarea relațiilor Evil Corp. cu oficiali ai serviciilor secrete rusești”, spunea Departamentul american al Trezoreriei în 2024.
Conform documentelor de acuzare din SUA, instrumentul DanaBot ar fi fost dezvoltat de doi ruși din orașul siberian Novosibirsk: Alexandr Stepanov și Artiom Kalinkin.
Bot-ul a fost închiriat sau dat în leasing – în schimbul unei taxe lunare, de 3.000-4.000 de dolari – altor hackeri interesați, care l-au folosit pentru a fura credențiale bancare sau informații despre carduri de credit sau chiar criptomonede, potrivit cercetătorilor.
Cercetătorii au denumit acest tip de model de criminalitate informatică „Crime as a Service” sau „Malware as a Service”.
Înainte de a fi închis, DanaBot infectase 300.000 de computere din întreaga lume, au declarat oficialii.
Îți mai recomandăm SUA avertizează cu privire la încercările unui grup de hackeri ruși de a obține acces complet la sistemele informatice„Varianta de spionaj”
Însă a fost construită și o a doua variantă a lui DanaBot, afirmă autoritățile: o „Variantă de spionaj”, despre care experții au spus că este neobișnuită.
Varianta a fost folosită – conform cercetătorilor, în octombrie 2019 și ianuarie 2020 – pentru spionaj împotriva entităților guvernamentale, agențiilor militare și chiar a organizațiilor non-guvernamentale.
Mesajele le copiau întocmai pe cele ale Organizației pentru Securitate și Cooperare în Europa (OSCE), un organism transatlantic cu sediul la Viena care monitorizează alegerile, promovează democrația și desfășoară activități de monitorizare pentru menținerea păcii, inclusiv în Ucraina.
A fost copiată, totodată, și o organizație guvernamentală din Kazahstan, al cărei nume nu a fost făcut public.
„Totuși, ceea ce distinge DanaBot de operațiunile tipice [de criminalitate informatică] este toleranța guvernului rus față de activitățile sale”, a declarat CrowdStrike, o altă companie de cercetare informatică care a urmărit activitățile DanaBot.
„În ciuda capacității ample de a investiga și urmări în justiție acești infractori care operează în interiorul granițelor ruse, nu există nicio dovadă publică că autoritățile au luat măsuri legale”, afirmă compania.
„Un model care sugerează că acești infractori cibernetici servesc drept forțe proxy care exercită presiuni asupra națiunilor occidentale, menținând în același timp o negare plauzibilă pentru statul rus.”
În declarația sub jurământ, depusă împreună cu actul de acuzare, un agent FBI a declarat că ofițerii de aplicare a legii au avut capacitatea să confiște servere pentru a observa modul în care a circulat malware-ul.
Agentul a mai spus că creatorii bot-ului și-au infectat propriile computere, probabil în mod deliberat, pentru a testa sau îmbunătăți malware-ul. Totuși, acest lucru a dus la furtul involuntar de date sensibile de la creatorii bot-ului, care au ajutat la identificarea acestora.
„Unul dintre riscurile comiterii de infracțiuni informatice este că infractorii se vor infecta uneori din greșeală cu propriul malware”, se arată în declarație.
Evitarea autorităților ruse
Un fost hacker rus, care vorbit fără să-i fie publicată identitatea, spune că aranjamentul DanaBot – varianta „infractor” și varianta „spionaj” – a fost folosit în mod curent de către cybercriminalii ruși ca modalitate de a evita problemele pe care le-ar fi avut din partea agențiilor de securitate rusești.
Totodată, hackerii ruși evită să țintească companii sau entități rusești pentru a evita controlul guvernului.
„Acest lucru este de așteptat. O variantă pentru a servi atât motivațiilor financiare, cât și pentru a face statul fericit”, a declarat fostul hacker rus pentru RFE/RL.
„Când ești un infractor de succes și nu vrei să ajungi la închisoare, cauți modalități. Poate chiar să te apropii proactiv de un prieten al unui prieten. Și acum ai o «krysha» - un termen rusesc care înseamnă «acoperiș» sau «protecție»”, spune fostul hacker.
În ciuda dovezilor acumulate că agențiile de securitate rusești folosesc actori criminali, nimic nu indică faptul că agențiile de securitate au fost descurajate de la această practică.
„Nu le pasă atâta timp cât funcționează”, a declarat fostul hacker.
Îți mai recomandăm UE și Regatul Unit îl sancționează pe șeful GRU - serviciul militar rusEuropa Liberă România e pe Google News. Abonați-vă AICI.