Rusya’daki hacker ekosistemi, belki de dünyanın başka herhangi bir yerinden daha fazla, siber suç, devlet destekli siber savaş ve casusluk arasındaki çizgileri bulanıklaştırdı. Şimdi bir grup Rus vatandaşının iddianamesi ve yayılan botnet’lerinin yayından kaldırılması, tek bir kötü amaçlı yazılım operasyonunun fidye yazılımı, Ukrayna’daki savaş zamanı siberattack’leri ve yabancı hükümetlere karşı casusluk gibi hackleme operasyonlarının nasıl mümkün olduğu iddia edilen en açık örneği sunuyor.
ABD Adalet Bakanlığı bugün, bugün 16 kişiye karşı cezai suçlamaların, Danabot olarak bilinen bir kötü amaçlı yazılım operasyonuyla bağlantılı olduğunu açıkladı ve bu da dünyanın en az 300.000 makineye bulaşmış bir şikayete göre. DOJ’un suçlamaları duyurması grubu “Rusya merkezli” olarak tanımlıyor ve şüphelilerden ikisi olan Aleksandr Stepanov ve Artem Aleksandrovich Kalinkin, Novosibirsk, Rusya’da yaşıyor. İddianamede diğer beş şüpheli ismini alırken, dokuz tane daha sadece takma adlarıyla tanımlanır. Bu suçlamalara ek olarak, Adalet Bakanlığı, Savunma Bakanlığı’nın bir ceza soruşturma kolu olan Savunma Ceza Soruşturma Servisi’nin ABD de dahil olmak üzere dünya çapında Danabot altyapısının nöbetlerini belirlediğini söyledi.
İddianame, Danabot’un kâr amacı gütmeyen cezai saldırılarda nasıl kullanıldığını iddia etmenin yanı sıra, askeri, hükümete ve STK hedeflerine karşı casuslukta kullanıldığını söylediği kötü amaçlı yazılımların ikinci bir varyantını da açıklıyor. ABD Avukatı Bill Essayli, “Danabot gibi yaygın kötü amaçlı yazılımlar, hassas askeri, diplomatik ve hükümet kuruluşları da dahil olmak üzere dünya çapında yüz binlerce kurbanı zarar veriyor ve milyonlarca dolar kayıplara neden oluyor” dedi.
2018’den bu yana, Danabot, başlangıçta kredi kartı ve kripto para hırsızlığı için tasarlanmış modüler özelliklere sahip PC’lerin sahiplerinden doğrudan çalmak için tasarlanmış bir bankacılık truva atı olarak dünyanın dört bir yanındaki milyonlarca bilgisayarı enfekte etti. İçerik oluşturucuları, onu ayda 3.000 ila 4.000 $ karşılığında diğer hacker gruplarına sunan bir “bağlı kuruluş” modelinde sattığı iddia edildiğinden, yakında fidye yazılımı da dahil olmak üzere geniş bir operasyonda farklı kötü amaçlı yazılımlar kurmak için bir araç olarak kullanıldı. Siber güvenlik firması Crowdstrike tarafından yapılan operasyonun analizine göre, hedefleri de Ukrayna, Polonya, İtalya, Almanya, Avusturya ve Avustralya’daki ilk kurbanlardan ABD ve Kanada finans kurumlarına yayıldı.
2021’in bir noktasında, Crowdstrike’a göre Danabot, kötü amaçlı yazılımları milyonlarca haftalık indirme ile NPM adlı bir JavaScript kodlama aracında saklayan bir yazılım tedarik zinciri saldırısında kullanıldı. Crowdstrike, finansal hizmetler, ulaşım, teknoloji ve medya endüstrilerinde bu tehlikeye atılmış aracın kurbanlarını buldu.
Siber güvenlik firması Proofpoint’te bir personel tehdidi araştırmacısı Selena Larson’a göre, bu ölçek ve çok çeşitli suçlu kullanımları Danabot’u “e-suç manzarasının bir juggernaut” haline getirdi.
Daha benzersiz bir şekilde, Danabot zaman zaman devlet destekli veya Rus devlet ajansı çıkarlarına bağlı gibi görünen kampanyaları hacklemek için de kullanılmıştır. 2019 ve 2020’de DOJ’un iddianamesine göre, görünen casusluk operasyonlarında bir avuç Batı hükümet yetkilisini hedeflemek için kullanıldı. Proofpoint’e göre, bu durumlardaki kötü amaçlı yazılım, Avrupa’daki Güvenlik ve İşbirliği Örgütü ve bir Kazakistan hükümet kuruluşu taklit eden kimlik avı mesajlarında verildi.