Специалисты по кибербезопасности обнаружили критическую уязвимость в коде печально известного ботнета DanaBot, которая на протяжении трех лет позволяла исследователям незаметно собирать конфиденциальную информацию о киберпреступниках. Эта брешь в безопасности, получившая название DanaBleed, стала ключевым фактором в успешном проведении международной операции правоохранительных органов.
История развития ботнета DanaBot
Вредоносная программа DanaBot впервые появилась в 2018 году как специализированный банковский троян, изначально нацеленный на пользователей в Украине, Польше, Австрии, Италии, Германии и Австралии. Со временем география атак расширилась, охватив территорию Северной Америки.
Особенностью DanaBot стала его бизнес-модель MaaS (Malware-as-a-Service), позволявшая злоумышленникам арендовать доступ к ботнету для проведения собственных кибератак. Первоначально специализировавшийся на краже банковских данных, троян эволюционировал в универсальную платформу для распространения различных типов вредоносного ПО, включая программы-вымогатели.
Администраторы ботнета не ограничились финансовыми преступлениями и создали вторую версию DanaBot, ориентированную на кибершпионаж против военных, дипломатических и правительственных организаций в Северной Америке и Европе.
Техническая природа уязвимости DanaBleed
Исследователи компании Zscaler обнаружили, что критическая ошибка появилась в коде DanaBot в июне 2022 года с выходом версии 2380. Проблема была связана с внедрением нового протокола командного управления (C&C), в логике которого содержался существенный дефект.
Суть уязвимости заключалась в неправильной инициализации памяти сервера при генерации ответов клиентам. Система должна была включать в ответы случайно сгенерированные байты заполнения, однако разработчики не предусмотрели очистку недавно выделенной памяти перед её использованием.
Название DanaBleed было выбрано по аналогии с печально известной уязвимостью HeartBleed, обнаруженной в библиотеке OpenSSL в 2014 году и затронувшей миллионы веб-серверов по всему миру.
Масштабы собранной разведывательной информации
Благодаря эксплуатации уязвимости DanaBleed, специалисты по кибербезопасности получили доступ к широкому спектру конфиденциальных данных, включая фрагменты внутренней переписки операторов ботнета, технические детали инфраструктуры и информацию о целях атак.
Собранная за три года разведывательная информация стала основой для проведения масштабной международной операции «Эндшпиль», результатом которой стало выведение из строя инфраструктуры DanaBot и получение ордеров на арест 16 граждан России, предположительно связанных с деятельностью ботнета.
Результаты правоохранительной операции
В ходе операции «Эндшпиль» правоохранительными органами были конфискованы серверы ботнета, заблокированы 2650 доменных имён и изъяты криптовалютные активы на сумму почти 4 миллиона долларов. Несмотря на то, что подозреваемым были предъявлены лишь заочные обвинения без физических арестов, операция нанесла значительный ущерб преступной инфраструктуре.
Перспективы и угрозы
Эксперты отмечают, что конфискация серверов и доменов позволит временно нейтрализовать угрозу со стороны DanaBot. Однако опыт показывает, что подобные преступные группировки обладают высокой адаптивностью и могут восстановить свою деятельность, используя новую инфраструктуру и исправленные версии вредоносного ПО.
История с уязвимостью DanaBleed демонстрирует важность непрерывного мониторинга киберугроз и необходимость тесного сотрудничества между специалистами по информационной безопасности и правоохранительными органами. Организациям рекомендуется регулярно обновлять системы защиты, проводить аудит безопасности и внедрять многоуровневые механизмы обнаружения вредоносной активности для защиты от подобных угроз.
