L’écosystème de pirate en Russie, plus que peut-être ailleurs dans le monde, a longtemps brouillé les frontières entre la cybercriminalité, la cyber-warwarfare parrainée par l’État et l’espionnage. Désormais, un acte d’accusation d’un groupe de ressortissants russes et le retrait de leur botnet tentaculaire offre l’exemple le plus clair dans les années de la façon dont une seule opération de logiciels malveillante aurait permis des opérations de piratage aussi variées que les ransomwares, les cyberattaques en temps de guerre en Ukraine et l’espionnage contre les gouvernements étrangers.
Le ministère américain de la Justice a annoncé aujourd’hui des accusations pénales contre 16 personnes des autorités chargées de l’application des lois se sont liées à une opération de logiciels malveillants connue sous le nom de Danabot, qui, selon une plainte, infectée au moins 300 000 machines dans le monde. L’annonce par le DOJ des accusations décrit le groupe comme «basé en Russie» et nomme deux des suspects, Aleksandr Stepanov et Artem Aleksandrovich Kalinkin, comme vivant à Novosibirsk, en Russie. Cinq autres suspects sont nommés dans l’acte d’accusation, tandis que neuf autres ne sont identifiés que par leurs pseudonymes. En plus de ces accusations, le ministère de la Justice a déclaré que le Service d’enquête criminelle de la défense (DCIS) – une branche d’enquête criminelle du ministère de la Défense – a détruit les crises de l’infrastructure de Danabot dans le monde, y compris aux États-Unis.
En plus de alléger comment Danabot a été utilisé dans le piratage criminel à but lucratif, l’acte d’accusation fait également une réclamation plus rare – il décrit comment une deuxième variante du malware qui, selon lui, a été utilisée dans l’espionnage contre les cibles militaires, gouvernementales et d’ONG. “Les logiciels malveillants omniprésents comme Danabot nuisent à des centaines de milliers de victimes dans le monde, y compris des entités militaires, diplomatiques et gouvernementales sensibles, et provoque plusieurs millions de dollars de pertes”, a écrit le procureur américain Bill Essayli dans un communiqué.
Depuis 2018, Danabot – décrit dans la plainte pénale comme «malware incroyablement invasif» – a infecté des millions d’ordinateurs à travers le monde, initialement en tant que Troie bancaire conçu pour voler directement aux propriétaires de PC avec des fonctionnalités modulaires conçues pour la carte de crédit et le toft de crypto-monnaie. Étant donné que ses créateurs l’auraient vendu dans un modèle «affilié» qui l’a mis à la disposition d’autres groupes de pirates pour 3 000 $ à 4 000 $ par mois, cependant, il a été rapidement utilisé comme un outil pour installer différentes formes de logiciels malveillants dans un large éventail d’opérations, y compris le ransomware. Ses objectifs se sont également rapidement répandus des premières victimes en Ukraine, en Pologne, en Italie, en Allemagne, en Autriche et en Australie aux institutions financières américaines et canadiennes, selon une analyse de l’opération de la société de cybersécurité Crowdsstrike.
À un moment donné en 2021, selon CrowdStrike, Danabot a été utilisé dans une attaque de chaîne d’approvisionnement logicielle qui a caché le malware dans un outil de codage JavaScript appelé NPM avec des millions de téléchargements hebdomadaires. Crowdstrike a trouvé des victimes de cet outil compromis dans les services financiers, les transports, la technologie et les médias.
Cette échelle et la grande variété de ses utilisations criminelles ont fait de Danabot «un mastodonte du paysage du crime électronique», selon Selena Larson, chercheuse à menace du personnel chez Cybersecurity Firm Pointpoint.
Plus unique, cependant, Danabot a également été utilisé à des moments pour pirater des campagnes qui semblent être parrainées par l’État ou liées aux intérêts de l’agence du gouvernement russe. En 2019 et 2020, il a été utilisé pour cibler une poignée de responsables du gouvernement occidental dans des opérations d’espionnage apparentes, selon l’acte d’accusation du DOJ. Selon Proofpoint, le malware dans ces cas a été livré dans des messages de phishing qui ont usurpé l’organisation de la sécurité et de la coopération en Europe et une entité gouvernementale du Kazakhstan.
