Bundesbehörden erheben Anklage gegen 16 Russen wegen angeblicher Verbindungen zu Botnetzen, die für Ransomware, Cyberangriffe und Spionage eingesetzt werden

Das Hacker-Ökosystem in Russland hat, wie wohl nirgendwo sonst auf der Welt, die Grenzen zwischen Cyberkriminalität, staatlich geförderter Cyberkriegsführung und Spionage schon lange verwischt . Die Anklage gegen eine Gruppe russischer Staatsbürger und die Zerschlagung ihres weitverzweigten Botnetzes liefern nun das deutlichste Beispiel seit Jahren dafür, wie eine einzige Malware-Attacke angeblich Hackerangriffe verschiedenster Art ermöglichte – von Ransomware-Angriffen über Cyberangriffe in der Ukraine während des Krieges bis hin zur Spionage gegen ausländische Regierungen.

Das US-Justizministerium hat heute Anklage gegen 16 Personen erhoben, die von den Strafverfolgungsbehörden mit der Schadsoftware DanaBot in Verbindung gebracht werden. DanaBot soll einer Anklage zufolge weltweit mindestens 300.000 Rechner infiziert haben. In der Anklageschrift des Justizministeriums wird die Gruppe als „in Russland ansässig“ beschrieben. Zwei der Verdächtigen, Alexander Stepanow und Artjom Alexandrowitsch Kalinkin, leben in Nowosibirsk, Russland. Fünf weitere Verdächtige werden in der Anklageschrift namentlich genannt, neun weitere werden nur mit ihren Pseudonymen identifiziert. Zusätzlich zu diesen Anklagepunkten gab das Justizministerium bekannt, dass der Defense Criminal Investigative Service (DCIS) – eine kriminalpolizeiliche Abteilung des US-Verteidigungsministeriums – weltweit, darunter auch in den USA, DanaBot-Infrastruktur beschlagnahmt habe.

Neben dem Vorwurf, DanaBot sei für gewinnorientiertes Hacking eingesetzt worden, enthält die Anklage auch eine seltenere Behauptung: Sie beschreibt, wie eine zweite Variante der Schadsoftware zur Spionage gegen Militär, Regierung und NGOs eingesetzt wurde. „Allgegenwärtige Schadsoftware wie DanaBot schädigt Hunderttausende Opfer weltweit, darunter auch sensible militärische, diplomatische und staatliche Stellen, und verursacht Schäden in Millionenhöhe“, schrieb US-Staatsanwalt Bill Essayli in einer Erklärung.

Seit 2018 hat DanaBot – in der Strafanzeige als „unglaublich invasive Malware“ beschrieben – Millionen von Computern auf der ganzen Welt infiziert, zunächst als Banking-Trojaner, der mit modularen Funktionen für den Diebstahl von Kreditkarten und Kryptowährungen direkt von den PC-Besitzern stehlen sollte. Da seine Entwickler ihn angeblich in einem „Affiliate“-Modell verkauften, wodurch er anderen Hackergruppen für 3.000 bis 4.000 Dollar pro Monat zur Verfügung stand, wurde er bald als Tool verwendet, um verschiedene Formen von Malware in einer breiten Palette von Operationen zu installieren, einschließlich Ransomware. Auch seine Ziele breiteten sich schnell von ursprünglichen Opfern in der Ukraine, Polen, Italien, Deutschland, Österreich und Australien auf US-amerikanische und kanadische Finanzinstitute aus, wie aus einer Analyse der Operation durch das Cybersicherheitsunternehmen Crowdstrike hervorgeht.

Laut Crowdstrike wurde Danabot 2021 bei einem Software-Supply-Chain-Angriff eingesetzt. Die Malware war in einem JavaScript-Programmiertool namens NPM versteckt, das wöchentlich millionenfach heruntergeladen wurde. Crowdstrike fand Opfer dieses kompromittierten Tools in den Branchen Finanzdienstleistungen, Transport, Technologie und Medien.

Dieses Ausmaß und die große Bandbreite seiner kriminellen Einsatzmöglichkeiten machten DanaBot laut Selena Larson, Bedrohungsforscherin beim Cybersicherheitsunternehmen Proofpoint, zu einem „Moloch der E-Crime-Landschaft“.

Noch ungewöhnlicher ist jedoch, dass DanaBot auch für Hackerangriffe eingesetzt wurde, die offenbar staatlich gefördert oder mit den Interessen russischer Behörden in Verbindung gebracht wurden. Laut Anklage des US-Justizministeriums wurde DanaBot 2019 und 2020 eingesetzt, um eine Handvoll westlicher Regierungsbeamter im Rahmen offensichtlicher Spionageoperationen anzugreifen. Laut Proofpoint wurde die Schadsoftware in diesen Fällen in Phishing-Nachrichten verbreitet, die sich als Vertreter der Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) und einer kasachischen Regierungsbehörde ausgaben.

Dann, in den ersten Wochen der groß angelegten Invasion Russlands in der Ukraine, die im Februar 2022 begann, wurde DanaBot verwendet, um ein Distributed-Denial-of-Service -Tool (DDoS) auf infizierten Maschinen zu installieren und Angriffe auf den Webmail-Server des ukrainischen Verteidigungsministeriums und des Nationalen Sicherheits- und Verteidigungsrats der Ukraine zu starten.

All dies macht DanaBot zu einem besonders deutlichen Beispiel dafür, wie Cyberkriminelle Malware angeblich von russischen Staatshackern übernommen wurde, so Larson von Proofpoint. „Es gab in der Vergangenheit viele Hinweise darauf, dass Cyberkriminelle mit russischen Regierungsstellen zusammenarbeiten, aber über diese zunehmend verschwimmenden Grenzen wurde öffentlich kaum berichtet“, sagt Larson. Der Fall DanaBot, so Larson, „ist ziemlich bemerkenswert, weil er einen öffentlichen Beweis für diese Überschneidung liefert, bei der wir sehen, wie E-Crime-Tools für Spionagezwecke eingesetzt werden.“

In der Strafanzeige behauptet DCIS-Ermittler Elliott Peterson – ein ehemaliger FBI-Agent, bekannt für seine Arbeit an den Ermittlungen gegen die Erfinder des Mirai-Botnetzes –, dass einige Mitglieder der DanaBot-Operation identifiziert wurden, nachdem sie ihre eigenen Computer mit der Schadsoftware infiziert hatten. Diese Infektionen könnten Peterson zufolge dem Testen des Trojaners dienten oder versehentlich erfolgt sein. In jedem Fall führten sie dazu, dass identifizierende Informationen über die mutmaßlichen Hacker auf der DanaBot-Infrastruktur landeten, die DCIS später beschlagnahmte. „Die unbeabsichtigten Infektionen führten oft dazu, dass sensible und kompromittierende Daten durch die Schadsoftware vom Computer des Täters gestohlen und auf DanaBot-Servern gespeichert wurden, darunter auch Daten, die zur Identifizierung von Mitgliedern der DanaBot-Organisation beitrugen“, schreibt Peterson.

Die Betreiber von DanaBot sind noch immer auf freiem Fuß, doch die Abschaltung eines so umfangreichen Tools in so vielen Formen des Hackings russischen Ursprungs – sowohl staatlich geförderten als auch kriminellen – stellt einen bedeutenden Meilenstein dar, sagt Adam Meyers, Leiter der Bedrohungsforschung bei Crowdstrike.

„Jedes Mal, wenn wir ein langjähriges Geschäft stören, beeinträchtigen wir die Möglichkeit, es zu monetarisieren. Es entsteht auch ein gewisses Vakuum, und jemand anderes wird einspringen und diesen Platz einnehmen“, sagt Meyers. „Aber je mehr wir sie stören, desto mehr halten wir sie auf Trab. Wir sollten das Ganze wiederholen und uns das nächste Ziel suchen.“