Les autorités fédérales accusent 16 Russes d'être impliqués dans des botnets utilisés pour des rançongiciels, des cyberattaques et des activités d'espionnage.

L'écosystème des hackers en Russie, plus que partout ailleurs dans le monde, a longtemps brouillé les frontières entre cybercriminalité, cyberguerre d'État et espionnage. Aujourd'hui, l' inculpation d'un groupe de ressortissants russes et le démantèlement de leur vaste botnet illustrent le mieux depuis des années comment une seule opération malveillante aurait permis des opérations de piratage aussi variées que des rançongiciels, des cyberattaques en temps de guerre en Ukraine et de l'espionnage contre des gouvernements étrangers.

Le ministère américain de la Justice a annoncé aujourd'hui des poursuites pénales contre 16 personnes que les forces de l'ordre ont liées à une opération de malware connue sous le nom de DanaBot, qui, selon une plainte, a infecté au moins 300 000 machines dans le monde. L'annonce des accusations par le ministère de la Justice décrit le groupe comme étant « basé en Russie » et désigne deux des suspects, Aleksandr Stepanov et Artem Aleksandrovich Kalinkin, comme résidant à Novossibirsk, en Russie. Cinq autres suspects sont nommés dans l'acte d'accusation, tandis que neuf autres ne sont identifiés que par leurs pseudonymes. Outre ces accusations, le ministère de la Justice indique que le Service d'enquête criminelle de la Défense (DCIS), une branche des enquêtes criminelles du ministère de la Défense, a procédé à des saisies d'infrastructures DanaBot dans le monde entier, y compris aux États-Unis.

Outre l'allégation selon laquelle DanaBot aurait été utilisé dans le cadre de piratages criminels à but lucratif, l'acte d'accusation fait également une affirmation plus rare : il décrit comment une deuxième variante du logiciel malveillant aurait été utilisée à des fins d'espionnage contre des cibles militaires, gouvernementales et d'ONG. « Les logiciels malveillants omniprésents comme DanaBot nuisent à des centaines de milliers de victimes dans le monde, notamment à des entités militaires, diplomatiques et gouvernementales sensibles, et causent des pertes se chiffrant en millions de dollars », a écrit le procureur américain Bill Essayli dans un communiqué.

Depuis 2018, DanaBot, décrit dans la plainte pénale comme un « programme malveillant incroyablement invasif », a infecté des millions d'ordinateurs dans le monde. Initialement, il s'agissait d'un cheval de Troie bancaire conçu pour voler directement les propriétaires de ces ordinateurs grâce à des fonctionnalités modulaires conçues pour le vol de cartes de crédit et de cryptomonnaies. Cependant, comme ses créateurs l'auraient vendu selon un modèle d'« affiliation » le mettant à la disposition d'autres groupes de pirates pour 3 000 à 4 000 dollars par mois, il a rapidement été utilisé comme outil pour installer différentes formes de programmes malveillants dans un large éventail d'opérations, y compris des rançongiciels. Ses cibles se sont également rapidement propagées, des victimes initiales en Ukraine, en Pologne, en Italie, en Allemagne, en Autriche et en Australie aux institutions financières américaines et canadiennes, selon une analyse de l'opération réalisée par la société de cybersécurité Crowdstrike .

Selon Crowdstrike, en 2021, Danabot a été utilisé dans une attaque de chaîne d'approvisionnement logicielle qui cachait le malware dans un outil de codage JavaScript appelé NPM, téléchargé des millions de fois par semaine. Crowdstrike a identifié des victimes de cet outil compromis dans les secteurs des services financiers, des transports, des technologies et des médias.

Cette ampleur et la grande variété de ses utilisations criminelles ont fait de DanaBot « un mastodonte du paysage de la cybercriminalité », selon Selena Larson, chercheuse en menaces au sein de la société de cybersécurité Proofpoint.

Plus singulièrement, DanaBot a également été utilisé à plusieurs reprises pour des campagnes de piratage informatique apparemment financées par l'État ou liées aux intérêts d'agences gouvernementales russes. En 2019 et 2020, il a été utilisé pour cibler une poignée de responsables gouvernementaux occidentaux dans le cadre d'opérations d'espionnage apparentes, selon l'acte d'accusation du ministère de la Justice. Selon Proofpoint , le logiciel malveillant était alors diffusé via des messages d'hameçonnage se faisant passer pour l'Organisation pour la sécurité et la coopération en Europe (OSCE) et une entité gouvernementale kazakhe.

Puis, dans les premières semaines de l'invasion à grande échelle de l'Ukraine par la Russie, qui a commencé en février 2022, DanaBot a été utilisé pour installer un outil de déni de service distribué (DDoS) sur des machines infectées et lancer des attaques contre le serveur de messagerie Web du ministère ukrainien de la Défense et du Conseil national de sécurité et de défense de l'Ukraine.

Tout cela fait de DanaBot un exemple particulièrement clair de la façon dont des logiciels malveillants cybercriminels auraient été adoptés par des pirates informatiques d'État russes, explique Larson de Proofpoint. « De nombreuses rumeurs ont circulé sur des liens entre des cybercriminels et des entités gouvernementales russes, mais ces frontières de plus en plus floues ont été peu relayées publiquement », explique Larson. Le cas de DanaBot, ajoute-t-elle, « est assez remarquable, car il témoigne publiquement de ce chevauchement entre des outils de cybercriminalité utilisés à des fins d'espionnage. »

Dans la plainte pénale, l'enquêteur du DCIS, Elliott Peterson – ancien agent du FBI connu pour son travail sur l' enquête sur les créateurs du botnet Mirai – allègue que certains membres de l'opération DanaBot ont été identifiés après avoir infecté leurs propres ordinateurs avec le logiciel malveillant. Ces infections pourraient avoir été effectuées pour tester le cheval de Troie, ou être accidentelles, selon Peterson. Quoi qu'il en soit, elles ont permis d'identifier les pirates présumés sur l'infrastructure de DanaBot, saisie ultérieurement par le DCIS. « Ces infections accidentelles ont souvent entraîné le vol de données sensibles et compromettantes sur l'ordinateur de l'auteur par le logiciel malveillant et leur stockage sur les serveurs de DanaBot, notamment des données permettant d'identifier les membres de l'organisation DanaBot », écrit Peterson.

Les opérateurs de DanaBot sont toujours en liberté, mais le démantèlement d'un outil à grande échelle utilisé dans de nombreuses formes de piratage informatique d'origine russe, à la fois parrainé par l'État et criminel, représente une étape importante, déclare Adam Meyers, qui dirige la recherche sur les renseignements sur les menaces chez Crowdstrike.

« Chaque perturbation d'une opération pluriannuelle impacte sa capacité à la monétiser. Cela crée également un vide, et quelqu'un d'autre va prendre la relève », explique Meyers. « Mais plus on parvient à les perturber, plus on les maintient sur la défensive. Il faut recommencer, et trouver la prochaine cible. »