דנה אינטרנשיונל: שובשו תשתיות גונב המידע של פוטין

דנה אינטרנשיונל: במבצע בינלאומי רחב היקף, שובשו באופן משמעותי התשתיות שהפעילו את גנב המידע הידוע לשמצה, Danabot.

את המבצע לשיבוש התשתיות של גנב המידע הובילו משרד המשפטים האמריקני, ה-FBI, ו-DCIS – שירות החקירות הפליליות של משרד ההגנה האמריקני. סוכנויות אמריקניות אלו עבדו בשיתוף פעולה הדוק עם המשטרות של גרמניה, הולנד ואוסטרליה, לצד ספקיות IT וחברות הגנת סייבר, בהן ESET. הרשויות בארה"ב הגישו לפני ימים אחדים כתבי כתב אישום נגד המפעילים המרכזיים של רשת הבוטים.

הנוזקה קשורה לקבוצת פשעי סייבר היושבת ברוסיה, וחבריה הדביקו יותר מ-300,000 מחשבים ברחבי העולם בקוד הזדוני. השימוש בה, לפי משרד המשפטים, "הקל על ביצוע הונאות ומשלוח כופרות, והסב נזק של יותר מ-50 מיליון דולר".

למרות שפותחה בעיקר לצורך גניבת נתונים ומידע, Danabot שימשה גם להפצת נוזקות נוספות, כולל כופרות. מפתחי Danabot מקדמים את ערכת כלי בתקיפה שלהם באמצעות פורומים מחתרתיים ומציעים אפשרויות השכרה שונות לשותפים פוטנציאליים.

המבצע כונה "סוף המשחק”, יוזמה בינלאומית מתמשכת, שמטרתה לזהות, לפרק ולהעמיד לדין רשתות פושעי סייבר. המבצע, שתואם על ידי יורופול, המשטרה  האירופית, ויורו-ג'אסט (Eurojust), הפיל בהצלחה את התשתית הקריטית ששימשה לפריסת כופרות ונוזקות. בצד של התעשייה, השתתפו במבצע אמזון, גוגל, קראוד סטרייק (CrowdStrike), פלאשפוינט (Flashpoint), פרופפוינט (Proofpoint), Team Cymru, Intel471, Zscaler ו-פייפאל (PayPal). מבצע השיבוש המשותף הוביל גם לזיהוי האנשים האחראים לפיתוח הנוזקה, למכירות, למינהלה ועוד.

המחברים של Danabot פועלים כקבוצה אחת, ומציעים את הכלי שלהם להשכרה לשותפים פוטנציאליים. אלה משתמשים בו להקמה וניהול של רשתות בוט משלהם. מחברי הנוזקה פיתחו מגוון עצום של תכונות: יכולת לגנוב נתונים שונים מדפדפנים, לקוחות דואר, לקוחות FTP ותוכנות פופולריות אחרות; רישום מקשים והקלטת מסך; שליטה מרחוק בזמן אמת במערכות הקורבנות; תפיסת קבצים (משמשת בדרך כלל לגניבת ארנקי מטבעות קריפטוגרפיים); תמיכה בהזרקות דמויות זאוס ותפיסת טפסים; והעלאה וביצוע של מטען שרירותי. לצד יכולות הגניבה שלה, החוקרים צפו במגוון מטענים זדוניים המופצים באמצעות Danabot לאורך השנים. לפי חוקרי ESET, ההאקרים גם עשו שימוש ב-Danabot להורדת כופרות – למערכות שכבר נפגעו. בנוסף לפשעי סייבר טיפוסיים, Danabot שימש גם בפעילויות פחות קונוונציונליות – כגון שימוש במכונות שנפגעו להפעלת התקפות DDoS. כך, למשל, במתקפת DDoS שנערכה נגד משרד ההגנה האוקראיני, זמן קצר לאחר הפלישה הרוסית.

"במשך שנות קיומה, נוזקת Danabot הייתה כלי מועדף עבור פושעי סייבר רבים וכל אחד מהם השתמש באמצעי הפצה שונים", ציינו החוקרים, "מפתחי הנוזקה אפילו שיתפו פעולה עם מחברים של כמה מצפנים ומטענים של נוזקות, והציעו תמחור מיוחד עבור חבילת הפצה ללקוחותיהם, ועזרו להם בתהליך. באחרונה, בין כל מנגנוני ההפצה, הכי הרבה נעשה שימוש לרעה ב-Google Ads – לשם להצגת אתרים רלוונטיים לכאורה, אך למעשה זדוניים, בין הקישורים הממומנים בתוצאות החיפוש של גוגל".

הנוזקה זוהתה בראשונה ב-2018, על ידי חוקרי פרופפוינט. DanaBot הפכה למטען מועדף של קבוצת האיומים TA547 ואומצה מאוחר יותר על ידי גורמי איום אחרים,  TA571 ו-TA564. חוקרי ESET עוקבים אחרי הנוזקה מאז 2018 ועסקו בניתוח טכני שלה ובזיהוי תשתית הקצה האחורי ושרתי ה-C&C שלה. פולין, איטליה, ספרד וטורקיה היו המדינות הממוקדות ביותר. הנוזקה כמעט ונעלמה באמצע 2020 לפני שחזרה לפעול באופן בולט בדצמבר 2023. באחרונה היא צצה במסגרת קמפיין סייבר התקפי נגד חברות תחבורה ולוגיסטיקה. במבצע אחר, האקרים השתמשו ב-DanaBot תוך התחזות לחברות הזמנת נסיעות ומינוף טכניקה בשם ClickFix. האקרים נוספים השתמשו בגרסה שנייה של הבוטנט כדי לרגל אחר מטרות צבאיות, דיפלומטיות וממשלתיות בצפון אמריקה ובאירופה.

בשבוע שעבר הוגשו לבית המשפט המחוזי בקליפורניה כתבי אישום נגד 16 חברי הקבוצה, אלא שהם מתגוררים ברוסיה ולא צפויים להינזק מהגשת כתבי האישום. בין הנאשמים, שני "מנהיגי" הנוזקה: אלכסנדר סטפנוב, 39, המכונה "JimmBee", וארטיום אלכסנדרוביץ' קלינקין, 34, המכונה "אוניקס", שניהם מנובוסיבירסק, רוסיה. לפי התובעים, סטפנוב משמש כמפתח ומנהל ראשי של הנוזקה בעוד קלינקין הוא מנהל שותף לתשתית שלה ומוביל המכירות שלה.