• Skoordynowana akcja służb i analityków ds. cyberbezpieczeństwa doprowadziła do unieszkodliwienia groźnego narzędzia Danabot wykorzystywanego na całym świecie m. in. do kradzieży danych.
• Co ważne, zidentyfikowano osoby odpowiedzialne za rozwój i wykorzystywanie narzędzia.
• Polacy byli głównym celem przestępców i stanowili ponad 60% globalnych wykryć ataków przy użyciu tego narzędzia.
Globalna operacja z udziałem amerykańskich służb
Operacja zakłócająca infrastrukturę trojana kradnącego dane – Danabot – przeprowadzona została przez Departament Sprawiedliwości USA, FBI oraz Służbę Dochodzeniową Departamentu Obrony USA. Amerykańskie agencje ściśle współpracowały z niemieckim Bundeskriminalamt, Holenderską Policją Narodową oraz Australijską Policją Federalną. W operację zaangażowane były również ważne podmioty z branży cyberbezpieczeństwa, w tym ESET. Wspólna akcja doprowadziła do identyfikacji osób odpowiedzialnych za rozwój, sprzedaż, administrację Danabota i inne działania z nim związane.
Dane telemetryczne ESET zbierane od 2018 roku rysują niepokojący obraz dla Polski. Nasz kraj stał się absolutnym priorytetem dla cyberprzestępców wykorzystujących Danabot. Wykrycia ataków z użyciem tego narzędzia w Polsce stanowiły niemal 63% globalnych wykryć wszystkich ataków. Dla porównania, użytkownicy z kolejnych w zestawieniu krajów – Włoch (4%), Hiszpanii (3,5%) i Turcji (3%) – stanowili zaledwie 3-4% globalnych ataków. Peru znalazło się na piątym miejscu z 1,5% globalnych wykryć. Te statystyki wyraźnie pokazują, jak poważnym zagrożeniem był Danabot dla polskich użytkowników i firm.
– Oprócz wykradania wrażliwych danych, zaobserwowaliśmy również, że Danabot jest wykorzystywany do dostarczania dodatkowego złośliwego oprogramowania – w tym ransomware – w części przypadków do już zainfekowanych systemów – mówi Tomáš Procházka, badacz z ESET, który zajmował się analizą Danabota.
Wykrycia Danabota na całym świecie według danych telemetrycznych ESET od 2018 roku
Globalna zorganizowana grupa
Twórcy Danabota działali jak zorganizowana grupa, oferując swoje narzędzie innym przestępcom w modelu „malware-as-a-service” (złośliwe oprogramowanie jako usługa). Kolejni cyberprzestępcy wynajmowali narzędzie, a następnie wykorzystywali go do własnych celów, tworząc i zarządzając własnymi botnetami, czyli siecią urządzeń, np. smartfonów, routerów, urządzeń IoT zainfekowanych złośliwym oprogramowaniem i kontrolowanych zdalnie przez cyberprzestępców.
Danabot posiadał szeroki wachlarz funkcji, które pomagały przestępcom w ich działaniach. Do najważniejszych należały: kradzież danych z przeglądarek, klientów poczty i FTP, keylogging (rejestrowanie wprowadzanych znaków, np. haseł) i nagrywanie ekranu, zdalne sterowanie komputerem ofiary w czasie rzeczywistym, przechwytywanie portfeli kryptowalut, a także możliwość przesyłania i uruchamiania na zainfekowanym komputerze dowolnego dodatkowego złośliwego oprogramowania.
Z odkryć i analiz ESET wynika, że za pośrednictwem Danabota dystrybuowano m.in. ransomware, czyli złośliwe oprogramowanie szyfrujące dane z intencją wymuszenia okupu na ich administratorach. Danabot był wykorzystywany również do mniej typowych działań, takich jak przeprowadzanie ataków DDoS (rozproszona odmowa usługi) – jeden z takich ataków dotyczył Ministerstwa Obrony Ukrainy. Innym razem cyberprzestępcy docierali do ofiar, wykorzystując spreparowane strony internetowe proponujące konkretne czynności mające na celu rozwiązać nieistniejące problemy z komputerem.
– Nasze analizy potwierdzają, że Danabot stanowił poważne zagrożenie na całym świecie, a jego szczególna koncentracja na Polsce jest alarmująca. Widzimy, że działania cyberprzestępców mają charakter strukturalny, a kolejne grupy cechują się nie tylko przebiegłymi sposobami dotarcia do danej grupy użytkowników, ale wręcz systemowymi modelami funkcjonowania, coraz trudniejszymi do rozbicia przez służby. Sukces tej operacji pokazuje, jak ważna jest międzynarodowa współpraca w walce z cyberprzestępczością. Jednocześnie musimy jednak pamiętać, że równie istotna jest praca u podstaw, czyli świadomość i edukacja na temat zagrożeń, które dotyczą każdego nas. – mówi Kamil Sadkowski, analityk laboratorium antywirusowego ESET.