Az Egyesült Államokban 16 vádlottat vádoltak meg a DanaBot malware, az egyik legtartósabb és legelterjedtebb információlopó platform ügyében, amely még 2018-ban jelent meg. Az FBI szerint a program második verzióját nemcsak adatlopásra, hanem kiberkémkedésre is használták.
A DanaBotot először 2018 májusában észlelték. A Malware-as-a-Service (MaaS) modellben értékesítették, és a hitelesítő adatok ellopására és a banki csalásokra specializálódott. Az ügyiratok szerint a platformhoz való hozzáférés havonta 3-4 ezer dollárba került a kapcsolt kiberbűnözőknek. 2022-re legalább 40 ilyen felhasználó volt.
Az amerikai hatóságok szerint a vírus több mint 300 ezer eszközt fertőzött meg szerte a világon, és több mint 50 millió dolláros kárt okozott. A rendszer fő szervezői JimmBee és Onix nevet viselik. Az "Onix", amint azt a dokumentumok jelzik, informatikai mérnökként dolgozik. A közösségi hálózatokon "Maffiozi" álnéven jelent meg.
A vizsgálat megállapította a rosszindulatú program két kulcsfontosságú verziójának jelenlétét. Az elsőt 2020 júniusáig osztották ki, és a pénzügyi bűncselekményekre összpontosított. A második, 2021 januárjában megjelent terméket már célzott kémkedés részeként használták - az Egyesült Államok, Nagy-Britannia, Németország és Fehéroroszország kormányzati szerveinek, diplomáciai osztályainak és civil szervezeteinek számítógépei fertőződtek meg.
A vádirat azt állítja, hogy egy speciálisan módosított kémverziót használtak, amely lehetővé tette a diplomáciai levelezés, a nagykövetség alkalmazottainak pénzügyi tranzakciói és az államok közötti interakciókra vonatkozó információk lehallgatását. Egyes esetekben a rosszindulatú program az amerikai diplomaták közötti párbeszédek összefoglalóit tartalmazó fájlokat töltött fel a szerverekre.
2022-ben az FBI-nak sikerült elkoboznia a DanaBot parancsnoki és vezérlő szervereit, valamint azokat a tárolókat, ahol az ellopott adatok találhatók. Ezekben a tárolókban az elemzők maguknak a támadóknak véletlenül letöltött személyes fájljait is megtalálták - egyes esetekben a fertőzések véletlenül, másokban - szándékosan, a vírus tesztelése vagy hibakeresése céljából.
A vádlottak között van a 39 éves Alekszandr Sztepanov, más néven "JimmBee" és a 34 éves Artem Alekszandrovics Kalinkin, más néven "Onix", mindketten az oroszországi Novoszibirszkből.
Sztepanovot összeesküvéssel, banki csalás és banki csalás elkövetésére irányuló összeesküvéssel, súlyos személyazonosság-lopással, biztonságos számítógéphez való jogosulatlan hozzáféréssel információszerzés céljából, védett számítógép jogosulatlan megrongálásával, lehallgatással és lehallgatott kommunikáció használatával vádolták.
Kalinkint összeesküvéssel vádolták, hogy jogosulatlanul hozzáférjenek egy számítógéphez információszerzés céljából, csalás céljából jogosulatlan hozzáférést szerezzenek egy számítógéphez, és jogosulatlanul károsítsanak egy védett számítógépet.
A DanaBot rosszindulatú program különféle módszereket alkalmazott az áldozatok számítógépeinek megfertőzésére, beleértve a rosszindulatú mellékleteket vagy hiperhivatkozásokat tartalmazó spam e-maileket. Az áldozatok DanaBot rosszindulatú programmal fertőzött számítógépei egy botnet (feltört számítógépek hálózata) részévé váltak.
A DanaBot többfunkciós volt, és számos képességgel rendelkezett az áldozatok számítógépeinek kihasználására. Használható volt adatok ellopására, banki munkamenetek elfogására, eszközinformációk, böngészési előzmények, mentett hitelesítő adatok és virtuális valuta pénztárca információk ellopására.
Ha elítélik, Kalinkin legfeljebb 72 év szövetségi börtönbüntetéssel néz szembe, Sztepanovot pedig legfeljebb öt év szövetségi börtönbüntetéssel sújtják.
A DanaBot elleni nyomozást az FBI Anchorage Regionális Irodája és a Védelmi Minisztérium Bűnügyi Nyomozó Szolgálata vezette, amely szorosan együttműködött a Német Szövetségi Bűnügyi Hivatallal (BKA), a holland nemzeti rendőrséggel és az ausztrál szövetségi rendőrséggel.
"Az olyan rosszindulatú programok, mint a DanaBot, áldozatok százezreit bénítják meg szerte a világon, beleértve a fontos katonai, diplomáciai és kormányzati szervezeteket" - mondta Bill Esmailey, Kalifornia központi kerületi ügyésze.
Az Amazon, a Crowdstrike, az ESET, a Flashpoint, a Google, az Intel 471, a Lumen, a PayPal, a Proofpoint, a Spycloud, a Team CYMRU és a ZScaler értékes segítséget nyújtott.
In the United States, 16 defendants have been charged in connection with the DanaBot malware, one of the most persistent and widespread information-stealing platforms that emerged in 2018. According to the FBI, the second version of the program was used not only for data theft but also for cyber espionage.
DanaBot was first detected in May 2018. It was sold using a Malware-as-a-Service (MaaS) model and specialized in credential theft and banking fraud. According to court documents, access to the platform cost affiliated cybercriminals $3-4 thousand per month. By 2022, there were at least 40 such users.
According to US authorities, the virus infected more than 300,000 devices worldwide and caused more than $50 million in damages. The main organizers of the system go by the names JimmBee and Onix. "Onix," as documents indicate, works as an IT engineer and appeared on social networks under the alias "Maffiozi."
The investigation identified the presence of two key versions of the malicious program. The first was distributed until June 2020 and focused on financial crimes. The second product, which appeared in January 2021, was used as part of targeted espionage - computers of government agencies, diplomatic departments, and civil organizations in the United States, Great Britain, Germany, and Belarus were infected.
The indictment alleges that a specially modified spy version was used that allowed interception of diplomatic correspondence, financial transactions of embassy employees, and information about inter-state interactions. In some cases, the malicious program uploaded files containing summaries of dialogues between American diplomats to the servers.
In 2022, the FBI successfully seized DanaBot's command and control servers, as well as storage facilities containing stolen data. In these storage facilities, analysts also found personal files accidentally downloaded by the attackers themselves - in some cases infections occurred accidentally, in others - intentionally for virus testing or debugging purposes.
Among the defendants are 39-year-old Aleksandr Stepanov, aka "JimmBee," and 34-year-old Artem Aleksandrovich Kalinkin, aka "Onix," both from Novosibirsk, Russia.
Stepanov was charged with conspiracy, bank fraud and conspiracy to commit bank fraud, aggravated identity theft, unauthorized access to a protected computer to obtain information, unauthorized damage to a protected computer, wiretapping, and use of intercepted communications.
Kalinkin was charged with conspiracy to gain unauthorized access to a computer to obtain information, fraudulent unauthorized access to a computer, and unauthorized damage to a protected computer.
The DanaBot malware employed various methods to infect victims' computers, including spam emails containing malicious attachments or hyperlinks. Victims' computers infected with DanaBot malware became part of a botnet (network of compromised computers).
DanaBot was multifunctional and had numerous capabilities for exploiting victims' computers. It could be used for data theft, capturing banking sessions, stealing device information, browsing history, saved credentials, and virtual currency wallet information.
If convicted, Kalinkin faces up to 72 years in federal prison, while Stepanov faces up to five years in federal prison.
The DanaBot investigation was led by the FBI's Anchorage Regional Office and the Department of Defense Criminal Investigative Service, working closely with the German Federal Criminal Office (BKA), Dutch National Police, and Australian Federal Police.
"Malware like DanaBot paralyzes hundreds of thousands of victims around the world, including important military, diplomatic and government organizations" - said Bill Esmailey, U.S. Attorney for the Central District of California.
Amazon, Crowdstrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint, Spycloud, Team CYMRU, and ZScaler provided valuable assistance.