Дослідники кібербезпеки виявили надзвичайно цікавий випадок, коли критична уразливість у коді небезпечного ботнета DanaBot протягом трьох років дозволяла фахівцям таємно збирати розвідувальні дані про кіберзлочинців. Ця безпекова брешь, яка отримала назву DanaBleed, стала ключовим інструментом у проведенні масштабної міжнародної операції проти кіберпреступників.
Еволюція загрози: від банківського трояна до платформи кібершпіонажу
Вредоносне програмне забезпечення DanaBot дебютувало у 2018 році як спеціалізований банківський троян, первинно орієнтований на користувачів у країнах Східної Європи, включаючи Україну, Польщу, а також Австрію, Італію, Німеччину та Австралію. Поступово кіберзлочинці розширили географію своїх атак, включивши до цільових регіонів Північну Америку.
Унікальність DanaBot полягала у впровадженні бізнес-моделі MaaS (Malware-as-a-Service) – сервісу, який дозволяв іншим зловмисникам орендувати доступ до ботнета для реалізації власних кіберзлочинних схем. Від початкової спеціалізації на крадіжці банківських облікових даних троян трансформувався у багатофункціональну платформу розповсюдження різноманітних типів шкідливого ПЗ, включаючи програми-вимагачі.
Особливо тривожним стало створення другої версії DanaBot, призначеної для кібершпіонажу проти військових, дипломатичних та урядових структур у Північній Америці та Європі, що значно підвищило рівень загрози національній безпеці.
Технічні деталі уразливості DanaBleed
Фахівці компанії Zscaler встановили, що критична помилка з’явилася у коді DanaBot у червні 2022 року з випуском версії 2380. Проблема виникла через впровадження нового протоколу командного управління (C&C), логіка якого містила серйозний дефект безпеки.
Основа уразливості полягала у некоректній ініціалізації пам’яті сервера під час генерації відповідей клієнтам. Система мала включати у відповіді випадково згенеровані байти заповнення, проте розробники не передбачили очищення щойно виділеної пам’яті перед її використанням. Це призводило до витоку конфіденційної інформації з пам’яті сервера.
Назва DanaBleed була обрана за аналогією з відомою уразливістю HeartBleed, виявленою у бібліотеці OpenSSL у 2014 році, яка вплинула на мільйони веб-серверів worldwide.
Розвідувальні дані та міжнародна операція
Експлуатація уразливості DanaBleed надала дослідникам доступ до широкого спектра секретної інформації, включаючи фрагменти внутрішнього листування операторів ботнета, технічні специфікації інфраструктури та дані про цілі атак.
Зібрана протягом трьох років розвідувальна інформація стала підґрунтям для проведення масштабної міжнародної операції “Ендшпіль”, результатом якої стало знищення інфраструктури DanaBot та отримання ордерів на арешт 16 громадян Росії, імовірно пов’язаних з діяльністю ботнета.
Результати правоохоронної діяльності
У ході операції “Ендшпіль” правоохоронці конфіскували сервери ботнета, заблокували 2650 доменних імен та вилучили криптовалютні активи на суму майже 4 мільйони доларів. Хоча підозрюваним були висунуті лише заочні звинувачення без фізичних арештів, операція завдала суттєвої шкоди злочинній інфраструктурі.
Майбутні виклики та рекомендації
Фахівці зазначають, що конфіскація серверів та доменів дозволить тимчасово нейтралізувати загрозу з боку DanaBot. Однак досвід демонструє, що подібні злочинні угруповання володіють високою адаптивністю та можуть відновити свою діяльність, використовуючи нову інфраструктуру та виправлені версії шкідливого ПЗ.
Випадок з уразливістю DanaBleed підкреслює критичну важливість безперервного моніторингу кіберзагроз та необхідність тісної співпраці між спеціалістами з інформаційної безпеки та правоохоронними органами. Організаціям настійно рекомендується регулярно оновлювати системи захисту, проводити комплексні аудити безпеки та впроваджувати багаторівневі механізми виявлення шкідливої активності для ефективного протистояння подібним загрозам у майбутньому.
