O ecossistema hacker na Rússia, mais do que em qualquer outro lugar do mundo, há muito tempo confunde as linhas entre cibercrime, guerra cibernética patrocinada pelo estado e espionagem. Agora, uma acusação contra um grupo de nacionais russos e a desativação de seu vasto botnet oferece o exemplo mais claro em anos de como uma única operação de malware supostamente possibilitou operações de hacking tão variadas quanto ransomware, ciberataques em tempo de guerra na Ucrânia e espionagem contra governos estrangeiros.
O Departamento de Justiça dos EUA anunciou hoje acusações criminais contra 16 indivíduos que as autoridades de aplicação da lei vincularam a uma operação de malware conhecida como DanaBot, que, de acordo com uma queixa, infectou pelo menos 300.000 máquinas em todo o mundo. O anúncio do DOJ descreve o grupo como “baseado na Rússia” e nomeia dois dos suspeitos, Aleksandr Stepanov e Artem Aleksandrovich Kalinkin, como residentes em Novosibirsk, Rússia. Outros cinco suspeitos são nomeados na acusação, enquanto outros nove são identificados apenas por seus pseudônimos. Além dessas acusações, o Departamento de Justiça afirma que o Serviço de Investigação Criminal da Defesa—um braço de investigação criminal do Departamento de Defesa—realizou apreensões da infraestrutura do DanaBot em todo o mundo, incluindo nos EUA.
Além de alegar como o DanaBot foi usado em hacking criminoso com fins lucrativos, a acusação também descreve uma segunda variante do malware que, segundo afirma, foi usada em espionagem contra alvos militares, governamentais e de ONGs. “Malware abrangente como o DanaBot prejudica centenas de milhares de vítimas em todo o mundo, incluindo entidades militares, diplomáticas e governamentais sensíveis, e causa milhões de dólares em perdas”, escreveu o procurador dos EUA Bill Essayli em um comunicado.
Desde 2018, o DanaBot infectou milhões de computadores em todo o mundo, inicialmente como um trojan bancário projetado para roubar diretamente dos proprietários desses PCs, com recursos modulares projetados para roubo de cartões de crédito e criptomoedas. No entanto, como seus criadores supostamente o venderam em um modelo de “afiliado” que o tornava disponível para outros grupos de hackers por US$ 3.000 a US$ 4.000 por mês, logo foi usado como uma ferramenta para instalar diferentes formas de malware em uma ampla gama de operações, incluindo ransomware. Seus alvos também rapidamente se espalharam de vítimas iniciais na Ucrânia, Polônia, Itália, Alemanha, Áustria e Austrália para instituições financeiras dos EUA e do Canadá, de acordo com uma análise da operação pela empresa de cibersegurança Crowdstrike.
Em um determinado momento em 2021, de acordo com a Crowdstrike, o DanaBot foi usado em um ataque à cadeia de suprimentos de software que ocultou o malware em uma ferramenta de codificação javascript chamada NPM, com milhões de downloads semanais. A Crowdstrike encontrou vítimas dessa ferramenta comprometida em setores de serviços financeiros, transporte, tecnologia e mídia.
Essa escala e a ampla variedade de seus usos criminosos fizeram do DanaBot “um gigante do cenário de e-crime”, de acordo com Selena Larson, uma pesquisadora de ameaças da empresa de cibersegurança Proofpoint.
Mais singularmente, no entanto, o DanaBot também foi usado em algumas campanhas de hacking que parecem ser patrocinadas pelo estado ou ligadas a interesses de agências do governo russo. Em 2019 e 2020, ele foi usado para atacar um punhado de funcionários do governo ocidental em operações de espionagem aparentes, de acordo com a acusação do DOJ. Segundo a Proofpoint, o malware nessas instâncias foi entregue em mensagens de phishing que impersonavam a Organização para a Segurança e Cooperação na Europa e uma entidade governamental do Cazaquistão.
Então, nas primeiras semanas da invasão em grande escala da Rússia à Ucrânia, que começou em fevereiro de 2022, o DanaBot foi usado para instalar uma ferramenta de negação de serviço distribuída (DDoS) em máquinas infectadas e lançar ataques contra o servidor de webmail do Ministério da Defesa da Ucrânia e do Conselho Nacional de Segurança e Defesa da Ucrânia.
Tudo isso faz do DanaBot um exemplo particularmente claro de como o malware cibercriminoso foi adotado por hackers estatais russos, alega Larson da Proofpoint. “Sempre houve muitas sugestões historicamente de operadores de cibercrime se associando a entidades do governo russo, mas não houve muitos relatos públicos sobre essas linhas cada vez mais borradas”, diz Larson. O caso do DanaBot, segundo ela, “é bastante notável, porque é uma evidência pública dessa sobreposição onde vemos ferramentas de e-crime usadas para fins de espionagem.”
Apesar dos operadores do DanaBot permanecerem à solta, a desativação de uma ferramenta de grande escala em tantas formas de hacking de origem russa—tanto patrocinado pelo estado quanto criminoso—representa um marco significativo, diz Adam Meyers, que lidera a pesquisa de inteligência de ameaças na Crowdstrike.
“Toda vez que você interrompe uma operação de vários anos, você impacta a capacidade deles de monetizá-la. Também cria um certo vácuo, e alguém mais vai assumir esse lugar”, diz Meyers. “Mas quanto mais pudermos interrompê-los, mais os manteremos em uma posição defensiva. Devemos repetir isso e encontrar o próximo alvo.”