L’écosystème de pirate en Russie, plus que peut-être ailleurs dans le monde, a longtemps brouillé les frontières entre la cybercriminalité, la cyber-warwarfare parrainée par l’État et l’espionnage. Désormais, un acte d’accusation d’un groupe de ressortissants russes et le retrait de leur botnet tentaculaire offre l’exemple le plus clair dans les années de la façon dont une seule opération de logiciels malveillante aurait permis des opérations de piratage aussi variées que les ransomwares, les cyberattaques en temps de guerre en Ukraine et l’espionnage contre les gouvernements étrangers.
Le ministère américain de la Justice a annoncé aujourd’hui des accusations pénales contre 16 personnes des autorités chargées de l’application des lois se sont liées à une opération de logiciels malveillants connue sous le nom de Danabot, qui, selon une plainte, infectée au moins 300 000 machines dans le monde. L’annonce par le DOJ des accusations décrit le groupe comme «basé en Russie» et nomme deux des suspects, Aleksandr Stepanov et Artem Aleksandrovich Kalinkin, comme vivant à Novosibirsk, en Russie. Cinq autres suspects sont nommés dans l’acte d’accusation, tandis que neuf autres ne sont identifiés que par leurs pseudonymes. En plus de ces accusations, le ministère de la Justice a déclaré que le Service d’enquête criminelle de la défense (DCIS) – une branche d’enquête criminelle du ministère de la Défense – a détruit les crises de l’infrastructure de Danabot dans le monde, y compris aux États-Unis.
En plus de alléger comment Danabot a été utilisé dans le piratage criminel à but lucratif, l’acte d’accusation fait également une réclamation plus rare – il décrit comment une deuxième variante du malware qui, selon lui, a été utilisée dans l’espionnage contre les cibles militaires, gouvernementales et d’ONG. “Les logiciels malveillants omniprésents comme Danabot nuisent à des centaines de milliers de victimes dans le monde, y compris des entités militaires, diplomatiques et gouvernementales sensibles, et provoque plusieurs millions de dollars de pertes”, a écrit le procureur américain Bill Essayli dans un communiqué.
Depuis 2018, Danabot – décrit dans la plainte pénale comme «malware incroyablement invasif» – a infecté des millions d’ordinateurs à travers le monde, initialement en tant que Troie bancaire conçu pour voler directement aux propriétaires de PC avec des fonctionnalités modulaires conçues pour la carte de crédit et le toft de crypto-monnaie. Étant donné que ses créateurs l’auraient vendu dans un modèle «affilié» qui l’a mis à la disposition d’autres groupes de pirates pour 3 000 $ à 4 000 $ par mois, cependant, il a été rapidement utilisé comme un outil pour installer différentes formes de logiciels malveillants dans un large éventail d’opérations, y compris le ransomware. Ses objectifs se sont également rapidement répandus des premières victimes en Ukraine, en Pologne, en Italie, en Allemagne, en Autriche et en Australie aux institutions financières américaines et canadiennes, selon une analyse de l’opération de la société de cybersécurité Crowdsstrike.
