Екосистема хакерів в Росії, мабуть, більше ніж деінде у світі, довгий час розмиває межі між кіберзлочинністю, державними кібервійнами та шпигунством. Нещодавнє обвинувачення групи російських громадян та ліквідація їхньої великої бот-мережі є найяскравішим прикладом за останні роки, як одна серія зловмисного програмного забезпечення нібито могла використовуватися для різноманітних кібератак, таких як програми викупу, військові кібератаки в Україні та шпигунство проти іноземних урядів.
Сьогодні Міністерство юстиції США повідомило про кримінальні обвинувачення проти 16 осіб, яких правоохоронні органи пов’язують із операцією з використанням шкідливого програмного забезпечення під назвою DanaBot, яке, згідно з позовом, заразило принаймні 300 000 комп’ютерів по всьому світу. В оголошенні Міністерства юстиції говориться, що група є «базованою в Росії», а двоє підозрюваних, Олександр Степанов і Артем Олександрович Калінкін, проживають у Новосибірську. У обвинувальному акті також згадуються п’ять інших підозрюваних, а дев’ять осіб ідентифікуються лише за псевдонімами. Крім того, Міністерство юстиції зазначає, що Служба кримінальних розслідувань Міністерства оборони (DCIS) провела вилучення інфраструктури DanaBot у всьому світі, зокрема й у США.
Окрім звинувачень у використанні DanaBot для комерційного злочинного хакінгу, обвинувальний акт також містить рідкісну вимогу — у ньому описується, як друга варіація шкідливого програмного забезпечення використовувалася для шпигунства проти військових, урядових та НУО-цілей. «Широкорозповсюджене шкідливе програмне забезпечення, таке як DanaBot, завдає шкоди сотням тисяч жертв по всьому світу, включаючи чутливі військові, дипломатичні та державні структури, що спричиняє мільйони доларів збитків», — заявив прокурор США Білл Есселлі у заяві.
З 2018 року DanaBot, описаний у позові як «надзвичайно інвазивне шкідливе програмне забезпечення», заразив мільйони комп’ютерів по всьому світу, спочатку виступаючи як банківський троян, призначений для крадіжки безпосередньо у власників ПК, з модульними функціями для крадіжки кредитних карток і криптовалюти. Творці програми, нібито продаючи її за моделлю «афілійованих» осіб за 3000-4000 доларів на місяць, зробили її інструментом для встановлення різних форм шкідливого програмного забезпечення у широкому спектрі операцій, включаючи програми викупу. Цілі також швидко розширилися з початкових жертв в Україні, Польщі, Італії, Німеччині, Австрії та Австралії до фінансових установ у США та Канаді, відповідно до аналізу операції, проведеному компанією Crowdstrike.
На деякому етапі в 2021 році, згідно з даними Crowdstrike, DanaBot використовувався в атаці на програмне забезпечення, що приховувало шкідливе програмне забезпечення у інструменті кодування javascript під назвою NPM, який має мільйони завантажень на тиждень. Crowdstrike виявила жертв цього скомпрометованого інструмента в фінансовому секторі, транспорті, технологіях та медіа.
Такий масштаб і різноманітність його злочинних застосувань зробили DanaBot «грандіозним представником кіберзлочинності», — сказала Селена Ларсон, дослідниця загроз з компанії Proofpoint.
Що більш унікально, так це те, що DanaBot також використовувався в кампаніях зламу, які, схоже, спонсоруються державою або пов’язані з інтересами російських урядових агентств. У 2019 та 2020 роках він використовувався для атаки на деяких західних урядових посадовців у рамках очевидних шпигунських операцій, згідно з обвинуваченням Міністерства юстиції. Згідно з Proofpoint, шкідливе програмне забезпечення в цих випадках розсилалося у фішингових повідомленнях, які маскувалися під повідомлення Організації з безпеки і співпраці в Європі та казахстанської державної структури.
