Ryskt cybernätverk: "De infekterade sig själva"

DanaBot: från banktrojan till spionverktyg

DanaBot, som i åtalet beskrivs som en “otroligt invasiv skadlig kod”, har sedan 2018 infekterat miljontals datorer globalt. Ursprungligen fungerade det som en banktrojan designad för att stjäla direkt från datorägarnas konton, med moduler för att stjäla kreditkortsuppgifter och kryptovalutor. D

å dess skapare påstås ha sålt den via en “affiliate”-modell, där andra hackergrupper kunde hyra den för mellan cirka 32 000 och 43 000 svenska kronor per månad, spreds dess användning snabbt. Den började användas för att installera olika typer av skadlig kod i en mängd operationer, inklusive utpressningsprogram.

Målen utökades också från de initiala offren i Ukraina, Polen, Italien, Tyskland, Österrike och Australien till finansiella institutioner i USA och Kanada, enligt en analys från cybersäkerhetsföretaget Crowdstrike.

Enligt Crowdstrike användes DanaBot under 2021 i en programvaruleveranskedjeattack, där den skadliga koden doldes i ett JavaScript-kodningsverktyg kallat NPM, som hade miljontals nedladdningar varje vecka.

Crowdstrike fann offer för detta komprometterade verktyg inom finans, transport, teknik och medieindustrin. Selena Larson, hotforskare vid cybersäkerhetsföretaget Proofpoint, beskriver DanaBots omfattning och mångsidighet i dess kriminella användning som att det var “en gigant inom e-brottslighetslandskapet”.

Därför försöker Apple tysta ny barnlag

En ny lag i Texas, som kräver åldersverifiering i appbutiker, har fått teknikjätten Apple att agera på högsta nivå. Företagets vd, Tim Cook, ska

Osynliga kopplingar till rysk statlig spionverksamhet

Det unika med DanaBot är dock att det också har använts i hackingkampanjer som verkar vara statsstödda eller kopplade till ryska myndighetsintressen. Mellan 2019 och 2020 användes det för att rikta in sig på ett antal västerländska regeringstjänstemän i vad som verkar vara spionoperationer, enligt justitiedepartementets åtal.

Enligt Proofpoint levererades den skadliga koden i dessa fall genom nätfiskemeddelanden som utgav sig för att komma från Organisationen för säkerhet och samarbete i Europa och en kazakisk statlig enhet.

I början av Rysslands fullskaliga invasion av Ukraina i februari 2022, användes DanaBot för att installera ett distribuerat överbelastningsverktyg (DDoS) på infekterade maskiner och för att inleda attacker mot webbservern för det ukrainska försvarsministeriet och Ukrainas nationella säkerhets- och försvarsråd. Selena Larson från Proofpoint menar att detta gör DanaBot till ett särskilt tydligt exempel på hur cyberkriminell skadlig kod påstås ha antagits av ryska statliga hackare.

“Historiskt har det funnits många antydningar om att cyberkriminella operatörer samarbetar med ryska statliga enheter, men det har inte funnits mycket offentlig rapportering om dessa alltmer suddiga gränser”, säger Larson.

Hon menar att DanaBot-fallet “är ganska anmärkningsvärt, eftersom det är offentliga bevis på denna överlappning där vi ser e-brottsverktyg användas för spionageändamål”.

Dronten, mammuten och tasmanska tigern på väg tillbaka

Har du någonsin funderat över om det är möjligt att väcka liv i utdöda arter som mammuten? En entreprenör i Las Vegas hävdar att det snart kan bli

Hackarnas egna misstag avslöjade operationen

I den brottsanmälan som ligger till grund för åtalet framhåller DCIS-utredaren Elliott Peterson, en före detta FBI-agent känd för sitt arbete med utredningen av Mirai-botnätet, att vissa medlemmar av DanaBot-operationen identifierades efter att de själva infekterat sina egna datorer med den skadliga koden.

Dessa infektioner kan ha skett i syfte att testa trojanen, eller ha varit oavsiktliga, enligt Peterson. Oavsett orsak resulterade de i att identifierande information om de påstådda hackarna hamnade på DanaBots infrastruktur, som DCIS senare beslagtog.

“De oavsiktliga infektionerna resulterade ofta i att känslig och komprometterande data stals från aktörens dator av den skadliga koden och lagrades på DanaBot-servrar, inklusive data som hjälpte till att identifiera medlemmar av DanaBot-organisationen”, skriver Peterson.

Även om operatörerna av DanaBot fortfarande är på fri fot, representerar nedläggningen av ett så omfattande verktyg, som använts i så många former av ryskt ursprung hacking – både statsstödd och kriminell – en betydande milstolpe, enligt Adam Meyers, som leder hotunderrättelseforskning på Crowdstrike.

“Varje gång du stör en flerårig operation, påverkar du deras förmåga att tjäna pengar på den. Det skapar också ett slags vakuum, och någon annan kommer att kliva fram och ta den platsen”, säger Meyers.

“Men ju mer vi kan störa dem, desto mer håller vi dem på alerten. Vi borde fortsätta att upprepa detta och hitta nästa mål.”

Världsnyhet: Cisco avtäcker vad ingen trodde var möjligt

Cisco satsar stort på att revolutionera kvanttekniken. En ny lösning kan snabba på utvecklingen av kvantdatorer med decennier. Framtiden för kvantdatorer

Missa inte:

”Hög tid att agera” – stark kritik mot ultraprocessad mat. News 55

Pension eller planet? Nu struntar pensionsjätten i miljön. E55

Novo Nordisk pressas till strategisk kursändring. Realtid