L’écosystème de pirate en Russie, plus que peut-être ailleurs dans le monde, a longtemps brouillé les frontières entre la cybercriminalité, la cyber-warwarfare parrainée par l’État et l’espionnage. Maintenant un accusation d’un groupe de ressortissants russes et du retrait de leur botnet tentaculaire offre l’exemple le plus clair dans les années de la façon dont une seule opération de logiciels malveillants aurait permis des opérations de piratage aussi variées que le ransomware, les cyberattaques en temps de guerre en Ukraine et l’espionnage contre les gouvernements étrangers.

Le ministère américain de la Justice a annoncé aujourd’hui des accusations pénales aujourd’hui contre 16 personnes des autorités chargées de l’application des lois se sont liées à une opération de malware connu sous le nom de Danabot, qui, selon un plainte infecté au moins 300 000 machines dans le monde. L’annonce par le DOJ des accusations décrit le groupe comme «basé en Russie» et nomme deux des suspects, Aleksandr Stepanov et Artem Aleksandrovich Kalinkin, comme vivant à Novosibirsk, en Russie. Cinq autres suspects sont nommés dans l’acte d’accusation, tandis que neuf autres ne sont identifiés que par leurs pseudonymes. En plus de ces accusations, le ministère de la Justice a déclaré que le Service d’enquête pénale de la défense – une branche d’enquête criminelle du ministère de la Défense – a détruit les crises de l’infrastructure de Danabot dans le monde, y compris aux États-Unis.

En plus de alléger comment Danabot a été utilisé dans le piratage criminel à but lucratif, l’acte d’accusation décrit également une deuxième variante du malware qui, selon lui, a été utilisée dans l’espionnage contre les objectifs militaires, gouvernementaux et des ONG. « Les logiciels malveillants omniprésents comme Danabot nuisent à des centaines de milliers de victimes dans le monde, y compris des entités militaires, diplomatiques et gouvernementales sensibles, et provoque plusieurs millions de dollars de pertes », a écrit le procureur américain Bill Essayli dans un communiqué.

Depuis 2018, Danabot a infecté des millions d’ordinateurs à travers le monde, initialement en tant que chevaux de Troie bancaire conçu pour voler directement aux propriétaires de PC avec des fonctionnalités modulaires conçues pour la carte de crédit et le vol de crypto-monnaie. Étant donné que ses créateurs l’auraient vendu dans un modèle «affilié» qui l’a mis à la disposition d’autres groupes de pirates pour 3 000 $ à 4 000 $ par mois, cependant, il a été rapidement utilisé comme un outil pour installer différentes formes de logiciels malveillants dans un large éventail d’opérations, y compris le ransomware. Ses objectifs se sont également rapidement répandus des premières victimes en Ukraine, en Pologne, en Italie, en Allemagne, en Autriche et en Australie aux institutions financières américaines et canadiennes, selon une analyse de l’opération de la société de cybersécurité Crowdsstrike.

À un moment donné en 2021, selon CrowdStrike, Danabot a été utilisé dans une attaque de chaîne d’approvisionnement logicielle qui a caché le malware dans un outil de codage JavaScript appelé NPM avec des millions de téléchargements hebdomadaires. Crowdstrike a trouvé des victimes de cet outil compromis dans les services financiers, les transports, la technologie et les médias.

Cette échelle et la grande variété de ses utilisations criminelles ont fait de Danabot «un mastodonte du paysage du crime électronique», selon Selena Larson, chercheuse à menace du personnel chez Cybersecurity Firm Pointpoint.

Plus unique, cependant, Danabot a également été utilisé à des moments pour pirater des campagnes qui semblent être parrainées par l’État ou liées aux intérêts de l’agence du gouvernement russe. En 2019 et 2020, il a été utilisé pour cibler une poignée de responsables du gouvernement occidental dans des opérations d’espionnage apparentes, selon l’acte d’accusation du DOJ. Selon Point de preuveles logiciels malveillants dans ces cas ont été livrés dans des messages de phishing qui ont usuré l’organisation de la sécurité et de la coopération en Europe et une entité gouvernementale du Kazakhstan.