Федеральні органи звинуватили 16 росіян у кібератаках DanaBot

Резюме: Міністерство юстиції США висунуло обвинувачення проти шістнадцяти осіб, пов’язаних із ботнетом DanaBot — модульною платформою шкідливого програмного забезпечення, яка використовувалася для зловмисного програмного забезпечення-вимагача, державного шпигунства та DDoS-атак під час вторгнення Росії в Україну. Це викриття підкреслює, як інфраструктура російських кіберзлочинців може бути перепрофільована для геополітичних цілей.

Передумови: Розмиті межі між кіберзлочинністю та кібернетичною війною

Протягом багатьох років екосистема хакерів у Росії стирала межі між чистою злочинністю та операціями, підтримуваними державою. DanaBot, вперше зафіксований у 2018 році, швидко еволюціонував з банківського трояна в багатофункціональну платформу шкідливого програмного забезпечення для оренди. Його творці впровадили модель афілійованих партнерів, встановивши плату в 3000–4000 доларів на місяць, що дозволило десяткам кіберзлочинних угруповань та розвідувальних служб використовувати налаштовані шкідливі програми.

Деталі обвинувачення та глобальне викриття

23 травня 2025 року Міністерство юстиції США оприлюднило обвинувачення проти 16 підозрюваних, що базуються в Росії, серед яких Олександр Степанов та Артем Калінкін з Новосибірська. Дев’ять інших осіб залишаються відомими лише під псевдонімами. Служба кримінальних розслідувань оборони (DCIS) провела скоординовані захоплення доменів та занурення командно-контрольних (C2) серверів у США, Європі та Азії.

Масштаб зараження

• Згідно зі скаргою Міністерства юстиції, у світі було заражено понад 300 000 комп’ютерів.
• Початкові цілі: банківські комп’ютери в Україні, Польщі, Італії та Німеччині.
• До 2021 року охоплення розширилось на фінансові установи США та Канади та критичну інфраструктуру.

Технічна архітектура шкідливого програмного забезпечення DanaBot

Сила DanaBot полягає в його модульній, плагінній структурі:

• Модуль крадіжки: Збирає облікові дані з браузерів, SSH-ключі та криптовалютні гаманці через API-хукінг.
• Модуль інжекції: Використовує процесне холювання для ухилення від рішень EDR, впроваджуючи шкідливі програми в довірені системні процеси, такі як svchost.exe.
• Завантажувач програм-вимагачів: Виконує шифрування (AES-256 + RSA-4096) та спілкується з захищеними C2 серверами через Tor та резервні HTTPS тунелі.
• DDoS інструментарій: Встановлює легкі UDP/TCP флудери, використовуючи неправильно налаштовані RTSP та SSDP сервіси.

У 2021 році компрометація ланцюга постачання NPM вставила DanaBot у пакет common-js-builder, який завантажувався понад 2 мільйони разів на тиждень, демонструючи складність операторів у отруєнні програмного забезпечення.

Шпигунські кампанії та зв’язки з державними структурами

Скарга Міністерства юстиції згадує про два варіанти DanaBot, перепрофільовані для шпигунства:

1. Дипломатичний фішинг (2019–2020): Шкідливе програмне забезпечення доставлялося через електронні листи з фішингом, що імітували ОБСЄ та уряд Казахстану, націлюючись на західних дипломатів та НУО. Жертви повідомляли про 0,7% компрометації пристроїв у вибраних кампаніях.
2. DDoS-атаки під час вторгнення в Україну (2022): Через кілька днів після початку повномасштабної атаки Росії, DDoS-вантаж DanaBot атакував веб-пошту Міністерства оборони України та Раду національної безпеки, генеруючи затоплення понад 100 Гбіт/с.

Ці операції ілюструють, як російські розвідувальні служби використовують наявні злочинні інструменти, а не розробляють індивідуальне шкідливе програмне забезпечення.

Глибокий аналіз: Судово-медичні висновки

Розслідувач DCIS Елліот Петерсон (колишній агент ФБР) відстежив зараження до тестових платформ операторів. Неправильно налаштоване шифрування C2 виявило метадані — IP-адреси, часові мітки компілятора та SSH-ключі — які використовувалися для розкриття особистостей афілійованих осіб. Автоматизована телеметрія пісочниці зафіксувала натискання клавіш та знімки екрана з кінцевих пристроїв операторів, що призвело до виявлення реальних особистостей.

Експертний аналіз та думки

“DanaBot є типовим прикладом двостороннього використання шкідливого програмного забезпечення,” говорить Селена Ларсон, дослідниця загроз у Proofpoint. “Рідко можна побачити публічно задокументовані докази того, як інфраструктура електронної злочинності безперешкодно переходить у ролі шпигунства.”

Білл Коннер, генеральний директор SonicWall, додає: “Оскільки кримінальні інструменти стають більш модульними та орендованими, захисникам слід враховувати, що будь-яке порушення може мати наслідки на державному рівні. Інтегроване розуміння загроз та телеметрія в реальному часі є критично важливими.”

Майбутні тренди в еволюції ботнетів

• Уникнення C2 на основі штучного інтелекту: Нові ботнети використовують машинне навчання для адаптації комунікаційних патернів і ухилення від виявлення аномалій у хмарних SIEM.
• Компрометація супутників низької орбіти: Дослідники попереджають про можливі атаки на наземні станції LEO для викрадення супутникових даних для глобального посилення DDoS.
• Укріплення ланцюга постачання з нульовою довірою: Галузь переходить до відтворювальних збірок та криптографічного походження для раннього виявлення зловмисного втручання в пакети.

Вплив на глобальну кібероборону

Викриття DanaBot порушує ключову ланку в екосистемі кіберінструментів Росії, але експерти попереджають, що нові афілійовані особи з’являться. Адам Мейєрс з CrowdStrike зазначає: “Порушення операцій купує час, але захисники повинні автоматизувати порушення та атрибуцію, щоб залишатися на крок попереду.”

Посилання та додаткові матеріали

• Скарга Міністерства юстиції: justice.gov/opa/pr
• Аналіз CrowdStrike атаки на ланцюг постачання DanaBot (2021)
• Звіти з досліджень загроз Proofpoint (2019–2022)