Skoordynowana akcja służb i analityków ds. cyberbezpieczeństwa doprowadziła do unieszkodliwienia groźnego trojana o nazwie Danabot, wykorzystywanego na całym świecie m. in. do kradzieży danych. Co ważne, zidentyfikowano osoby odpowiedzialne za rozwój i wykorzystywanie tego narzędzia. Jak się okazuje, Polacy byli głównym celem przestępców i stanowili ponad 60% globalnych wykryć ataków przy użyciu Danabota.
Operację zakłócająca infrastrukturę trojana przeprowadziły: Departament Sprawiedliwości USA, FBI oraz Służba Dochodzeniowa Departamentu Obrony USA. Amerykańskie agencje ściśle współpracowały z niemieckim Bundeskriminalamt, Holenderską Policją Narodową oraz Australijską Policją Federalną. W operację zaangażowane były również ważne podmioty z branży cyberbezpieczeństwa, w tym firma ESET.
Dane telemetryczne ESET zbierane od 2018 roku rysują niepokojący obraz dla Polski. Nasz kraj stał się absolutnym priorytetem dla cyberprzestępców wykorzystujących Danabot. Wykrycia ataków z użyciem tego narzędzia w Polsce stanowiły niemal 63% globalnych wykryć wszystkich ataków. Dla porównania, użytkownicy z kolejnych w zestawieniu krajów – Włoch (4%), Hiszpanii (3,5%) i Turcji (3%) – stanowili zaledwie 3-4% globalnych ataków. Peru znalazło się na piątym miejscu z 1,5% globalnych wykryć. Te statystyki wyraźnie pokazują, jak poważnym zagrożeniem był Danabot dla polskich użytkowników i firm.
„Oprócz wykradania wrażliwych danych, zaobserwowaliśmy również, że Danabot jest wykorzystywany do dostarczania dodatkowego złośliwego oprogramowania – w tym ransomware – w części przypadków do już zainfekowanych systemów” – skomentował Tomáš Procházka, badacz z ESET, który zajmował się analizą Danabota.
Globalna zorganizowana grupa
Twórcy Danabota działali jak zorganizowana grupa, oferując swoje narzędzie innym przestępcom w modelu „malware-as-a-service” (złośliwe oprogramowanie jako usługa). Kolejni cyberprzestępcy wynajmowali narzędzie, a następnie wykorzystywali go do własnych celów, tworząc i zarządzając własnymi botnetami, czyli siecią urządzeń, np. smartfonów, routerów, urządzeń IoT zainfekowanych złośliwym oprogramowaniem i kontrolowanych zdalnie przez cyberprzestępców.
Danabot posiadał szeroki wachlarz funkcji, które pomagały przestępcom w ich działaniach. Do najważniejszych należały: kradzież danych z przeglądarek, klientów poczty i FTP, keylogging (rejestrowanie wprowadzanych znaków, np. haseł) i nagrywanie ekranu, zdalne sterowanie komputerem ofiary w czasie rzeczywistym, przechwytywanie portfeli kryptowalut, a także możliwość przesyłania i uruchamiania na zainfekowanym komputerze dowolnego dodatkowego złośliwego oprogramowania.
Z analiz ESET wynika, że za pośrednictwem Danabota dystrybuowano m.in. ransomware, czyli złośliwe oprogramowanie szyfrujące dane z intencją wymuszenia okupu na ich administratorach. Danabot był wykorzystywany również do mniej typowych działań, takich jak przeprowadzanie ataków DDoS (rozproszona odmowa usługi) – jeden z takich ataków dotyczył Ministerstwa Obrony Ukrainy. Innym razem cyberprzestępcy docierali do ofiar, wykorzystując spreparowane strony internetowe proponujące konkretne czynności mające na celu rozwiązać nieistniejące problemy z komputerem.
„Danabot stanowił poważne zagrożenie na całym świecie, a jego szczególna koncentracja na Polsce jest alarmująca. Widzimy, że działania cyberprzestępców mają charakter strukturalny, a kolejne grupy cechują się nie tylko przebiegłymi sposobami dotarcia do danej grupy użytkowników, ale wręcz systemowymi modelami funkcjonowania, coraz trudniejszymi do rozbicia przez służby. Sukces tej operacji pokazuje, jak ważna jest międzynarodowa współpraca w walce z cyberprzestępczością. Jednocześnie musimy jednak pamiętać, że równie istotna jest praca u podstaw, czyli świadomość i edukacja na temat zagrożeń, które dotyczą każdego nas” – podsumował Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
