15 января 2020 года тысячам людей во всем мире пришло электронное письмо. Оно преподносилось как очередной дайджест от международных наблюдателей, отслеживающих ситуацию на востоке Украины. Содержание и оформление письма было идентично тем, которые рассылает Организация по безопасности и сотрудничеству в Европе (ОБСЕ), и сопровождалось примечанием: "Полный отчет во вложении", а также паролем для доступа к прилагаемому файлу.
Если человек пытался кликнуть на иконку вложенного файла, он, сам того не зная, запускал вирус, который подключал его компьютер к глобальной сети заражённых устройств под названием DanaBot.
Этот бот был создан в России. По данным исследователей и правоохранительных органов, он использовался не только для таких преступлений, как кража данных банковских карт, номеров счетов и криптовалютных кошельков, но и для шпионажа в интересах российских разведывательных служб.
Бот с двойным лицом
В прошлом месяце власти более десяти стран объявили, что им удалось нарушить работу DanaBot. Министерство юстиции США также рассекретило обвинительное заключение трёхлетней давности, в котором 16 человек, в основном россиян, обвиняются в создании и использовании этого бота с целью "кражи данных… таких как банковские счета, электронные почтовые ящики, аккаунты в соцсетях и криптовалютные кошельки".
Менее замеченным остался тот факт, что в сопровождающем обвинительное заключение заявлении агента ФБР, а также в самом обвинении описывался второй вариант бота, получивший название "шпионский вариант" ("Espionage Variant"). Утверждается, что он "использовался для атак на военные, дипломатические, государственные и неправительственные организации".
"Эти действия, по всей видимости, осуществлялись в соответствии с целями российского государственного шпионажа", – заявила компания Proofpoint из Калифорнии, которая одной из первых начала документировать активность DanaBot более семи лет назад.
Российский след
Пересечения между российскими киберпреступниками и спецслужбами России хорошо задокументированы за последние 25 лет и не раз становились предметом уголовного разбирательства.
Три основные российские спецслужбы – Федеральная служба безопасности (ФСБ), Служба внешней разведки (СВР) и Главное разведывательное управление Генерального штаба (ГРУ) – обладают значительными кибервозможностями. Однако не все из них вовлечены в злонамеренные действия, такие как распространение программ-вымогателей или так называемых банковских троянов, и не все тесно сотрудничают с хакерами.
Программа-вымогатель – это вредоносный код, который, будучи запущенным ничего не подозревающей жертвой, блокирует компьютер или сервер. Чтобы разблокировать его, жертва, как правило, должна отправить отправителю выкуп –обычно в трудноотслеживаемых криптовалютах, таких как Биткойн или Этериум.
Более десяти лет назад главное киберподразделение ФСБ наняло бывшего хакера на должность заместителя директора.
Это подразделение, известное как Центр 18, по данным американских официальных лиц, было замешано во взломе аккаунтов американских политических деятелей во время президентских выборов 2016 года. Собственную хакерскую операцию в это же время параллельно с ФСБ осуществляло и ГРУ.
Впоследствии Центр 18 оказался в центре громкого скандала, закончившегося обвинениями в государственной измене в адрес его тогдашнего руководителя, бывшего хакера, и ещё двух человек. Прокурор запросил 20 лет колонии строгого режима для бывшего сотрудника ФСБ Сергея Михайлова и начальника отдела "Лаборатории Касперского", бывшего майора МВД Руслана Стоянова.
Считается, что это же подразделение завербовало ещё одного российского хакера, Алексея Белана, для помощи в краже миллиардов аккаунтов электронной почты Yahoo, что стало одной из крупнейших краж такого рода в истории.
Российская группировка под названием Evil Corp несёт ответственность еще за один из самых опасных вирусов-вымогателей в истории – Dridex (также известный как Bugat). Основатель Evil Corp, Максим Якубец, был обвинён Министерством юстиции США в 2019 году за распространение этой программы, которая, как утверждается, привела к мошенничеству в банковской сфере на сумму около 100 миллионов долларов.
По данным Министерства финансов США за 2024 год, тесть Якубца – бывший офицер спецназа ФСБ, который "использовал своё положение и связи для содействия развитию контактов Evil Corp с представителями российских разведывательных служб". Связь Якубца с ФСБ в 2019 году впервые документально подтвердило в собственном расследовании Радио Свобода.
Согласно обвинительному заключению, DanaBot был разработан двумя россиянами из Новосибирска: Александром Степановым и Артёмом Калинкиным.
По данным следователей, бот сдавался в аренду другим хакерам за ежемесячную плату в размере около 3 000–4 000 долларов. Эти хакеры использовали его для кражи банковских данных, информации с кредитных карт и криптовалют.
В американских судебных документах такая модель названа "преступность как услуга" (Crime as a Service) или "вредоносное ПО как услуга" (Malware as a Service).
До того, как сеть была отключена, DanaBot, по словам официальных лиц, заразил 300 000 компьютеров по всему миру. Однако, как утверждают власти, существовал и второй вариант DanaBot – так "шпионский", который эксперты сочли необычным.
Этот вариант DanaBot использовался в октябре 2019 года и январе 2020 года для шпионажа против государственных учреждений, военных ведомств и даже неправительственных организаций.
Письма маскировались под сообщения от Организации по безопасности и сотрудничеству в Европе (ОБСЕ) – организации со штаб-квартирой в Вене, которая занимается мониторингом выборов, продвижением демократии и наблюдением за миротворческими инициативами по всему миру, включая Украину. В фишинговых письмах также имитировался стиль и оформление неназванного казахстанского государственного учреждения.
"То, что отличает DanaBot от типичных [киберпреступных] операций, – это терпимость российского государства к его деятельности", – заявила компания CrowdStrike, ещё одна исследовательская организация, отслеживавшая активность DanaBot.
"Несмотря на наличие всех возможностей для расследования и привлечения к ответственности преступников, действующих на территории России, нет никаких публичных доказательств того, что власти предприняли для этого какие-либо юридические шаги", – отмечается в заявлении компании. "Это соответствует схеме, при которой киберпреступники выступают в роли прокси-сил, оказывающих давление на западные страны, при этом обеспечивая российскому государству правдоподобное отрицание причастности", - считают эксперты CrowdStrike.
В заявлении агента ФБР, прилагаемом к обвинительному заключению, говорится, что правоохранительным органам удалось изъять серверы, чтобы наблюдать за миграцией вредоносного ПО. Агент также указал, что создатели бота заразили свои собственные компьютеры – возможно, намеренно – чтобы протестировать или улучшить вредоносную программу. Однако это привело к тому, что конфиденциальные данные самих авторов были случайно украдены, что помогло их идентифицировать.
"Одна из опасностей киберпреступности заключается в том, что преступники иногда по ошибке заражают собственные устройства своей же вредоносной программой", – говорится в сопровождающей обвинительное заключение записке.
Тактика уклонения
Бывший российский хакер, не уполномоченный говорить публично, рассказал Радио Свобода, что схема с двумя вариантами DanaBot – один криминальный, другой шпионский – типична для российских киберпреступников и используется как способ избежать проблем со стороны российских спецслужб.
Кроме того, российские хакеры избегают атак на российские компании или учреждения, чтобы не привлекать внимание государственных органов.
"Это ожидаемо. Один вариант – для финансовой выгоды, другой – чтобы государство было довольно", – говорит этот человек. "Когда ты успешный преступник и не хочешь попасть в тюрьму, ты ищешь варианты. Иногда даже сам выходишь на кого-то через знакомых. И вот у тебя уже есть "крыша", – добавляет он.
По словам собеседника Радио Свобода, несмотря на накопленные доказательства того, что российские спецслужбы используют киберпреступников в своих целях, нет признаков того, что они отказались от такой практики. "Им всё равно, пока это работает", – говорит бывший хакер.
