DanaBot, il super malware russo usato per spionaggio e cybercrimine: smantellata la rete
DanaBot, il malware russo usato per crimini e spionaggio, è stato smantellato: colpita un’intera infrastruttura globale dal 2018.
Dietro uno dei più potenti malware degli ultimi anni si celava una rete criminale che intrecciava attacchi ransomware, sabotaggi digitali in Ucraina e operazioni di spionaggio contro governi stranieri. Ora, grazie all’azione congiunta delle autorità statunitensi, questa struttura legata al malware DanaBot è stata formalmente incriminata e parte della sua infrastruttura globale è stata smantellata. Secondo il Dipartimento di Giustizia degli Stati Uniti, DanaBot è il simbolo di come il confine tra criminalità informatica e cyber-spionaggio di Stato, soprattutto in Russia, sia diventato sempre più labile.
Un malware, tanti volti: furto, spionaggio e guerra informatica
L’indagine, resa pubblica con l’incriminazione di 16 cittadini russi, ha ricostruito l’evoluzione di DanaBot, attivo dal 2018 e inizialmente concepito come trojan bancario. Il malware è stato usato per rubare credenziali e criptovalute, ma ben presto è diventato una piattaforma modulare venduta in abbonamento ad altri gruppi cybercriminali per circa 3.000-4.000 dollari al mese. Con il tempo, DanaBot è stato impiegato per veicolare altri tipi di malware, compresi quelli per il ransomware, espandendosi dall’Europa orientale agli Stati Uniti, al Canada e all’Australia. In un caso documentato nel 2021, è stato persino nascosto all’interno di un popolare strumento JavaScript distribuito su NPM, compromettendo aziende nei settori bancario, trasporti e media.
Ma ciò che rende DanaBot ancora più inquietante è il suo presunto impiego in operazioni di spionaggio cibernetico condotte in sinergia con interessi statali russi. Tra il 2019 e il 2020, il malware sarebbe stato utilizzato per colpire funzionari governativi occidentali, con campagne di phishing che si fingevano comunicazioni ufficiali dell’Organizzazione per la Sicurezza e la Cooperazione in Europa. Con lo scoppio della guerra in Ucraina, il codice maligno è stato modificato per lanciare attacchi DDoS contro infrastrutture digitali del Ministero della Difesa ucraino. Il caso DanaBot, secondo gli analisti di Proofpoint, è una delle prove più solide finora emerse dell’uso di strumenti del cybercrimine in attività tipiche dell’intelligence.
Dati compromessi e identità svelate: la fine (provvisoria) di un’era
Un dettaglio rivelatore dell’indagine riguarda il fatto che alcuni membri della rete DanaBot siano stati identificati perché avrebbero infettato per errore i propri dispositivi con il malware, probabilmente durante fasi di test. Secondo l’ex agente FBI Elliott Peterson, oggi al DCIS, questi incidenti hanno permesso di acquisire dati sensibili che sono stati poi raccolti dai server di DanaBot e utilizzati per risalire agli sviluppatori. Il sequestro di parte dell’infrastruttura e l’iscrizione nel registro degli indagati di diversi individui (tra cui i russi Aleksandr Stepanov e Artem Kalinkin) non ha ancora portato ad arresti, ma ha indebolito una delle più versatili armi digitali russe.
Adam Meyers di Crowdstrike ha sottolineato che azioni come questa colpiscono non solo l’organizzazione in sé, ma anche l’intero ecosistema criminale, aprendo la strada a future operazioni di contrasto.
