Skoordynowana akcja służb i analityków ds. cyberbezpieczeństwa doprowadziła do unieszkodliwienia groźnego narzędzia Danabot wykorzystywanego na całym świecie m. in. do kradzieży danych. Co ważne, zidentyfikowano osoby odpowiedzialne za rozwój i wykorzystywanie narzędzia. Polacy byli głównym celem przestępców i stanowili ponad 60 proc. globalnych wykryć ataków przy użyciu tego narzędzia.
Globalna operacja z udziałem służb
Operacja zakłócająca infrastrukturę trojana kradnącego dane – Danabot – przeprowadzona została przez Departament Sprawiedliwości USA, FBI oraz Służbę Dochodzeniową Departamentu Obrony USA. Amerykańskie agencje ściśle współpracowały z niemieckim Bundeskriminalamt, Holenderską Policją Narodową oraz Australijską Policją Federalną.
W operację zaangażowane były również ważne podmioty z branży cyberbezpieczeństwa. Wspólna akcja doprowadziła do identyfikacji osób odpowiedzialnych za rozwój, sprzedaż, administrację Danabota i inne działania z nim związane.
Dane telemetryczne ESET zbierane od 2018 roku rysują niepokojący obraz dla Polski. Nasz kraj stał się absolutnym priorytetem dla cyberprzestępców wykorzystujących Danabot. Wykrycia ataków z użyciem tego narzędzia stanowiły niemal 63 proc. globalnych wykryć wszystkich ataków.
Dla porównania, użytkownicy z kolejnych w zestawieniu krajów – Włoch (4%), Hiszpanii (3,5%) i Turcji (3%) – stanowili 3-4 proc. globalnych ataków. Peru znalazło się na piątym miejscu z 1,5 proc. globalnych wykryć. Te statystyki wyraźnie pokazują, jak poważnym zagrożeniem był Danabot dla polskich użytkowników i firm.
Tomáš Procházka, badacz z ESET, który zajmował się analizą Danabota:
Oprócz wykradania wrażliwych danych, zaobserwowaliśmy również, że Danabot jest wykorzystywany do dostarczania dodatkowego złośliwego oprogramowania – w tym ransomware – w części przypadków do już zainfekowanych systemów.
Globalna grupa przestępcza
Twórcy Danabota działali jak zorganizowana grupa, oferując swoje narzędzie innym przestępcom w modelu „malware-as-a-service” (złośliwe oprogramowanie jako usługa).
Kolejni cyberprzestępcy wynajmowali narzędzie, a następnie wykorzystywali go do własnych celów, tworząc i zarządzając własnymi botnetami, czyli siecią urządzeń, np. smartfonów, routerów, urządzeń IoT zainfekowanych złośliwym oprogramowaniem i kontrolowanych zdalnie przez cyberprzestępców.
Danabot posiadał szeroki wachlarz funkcji, które pomagały przestępcom w ich działaniach. Do najważniejszych należały: kradzież danych z przeglądarek, klientów poczty i FTP, keylogging (rejestrowanie wprowadzanych znaków, np. haseł) i nagrywanie ekranu, zdalne sterowanie komputerem ofiary w czasie rzeczywistym, przechwytywanie portfeli kryptowalut, a także możliwość przesyłania i uruchamiania na zainfekowanym komputerze dowolnego dodatkowego złośliwego oprogramowania.
Za pośrednictwem Danabota
Z odkryć i analiz ESET wynika, że za pośrednictwem Danabota dystrybuowano m.in. ransomware, czyli złośliwe oprogramowanie szyfrujące dane z intencją wymuszenia okupu na ich administratorach.
Danabot był wykorzystywany również do mniej typowych działań, takich jak przeprowadzanie ataków DDoS (rozproszona odmowa usługi) – jeden z takich ataków dotyczył Ministerstwa Obrony Ukrainy.
Innym razem cyberprzestępcy docierali do ofiar, wykorzystując spreparowane strony internetowe proponujące konkretne czynności mające na celu rozwiązać nieistniejące problemy z komputerem.
***
economista.pl to serwis ekonomiczny prezentujący rzetelne analizy, dane i informacje finansowe dotyczące gospodarki, finansów, technologii czy rynku nieruchomości. Od blisko 4 lat prowadzony przez doświadczonych dziennikarzy ekonomicznych. Osoby i firmy zainteresowane współpracą zapraszamy do kontaktu na adres: