Новости 650 доменов DanaBot сгорели за один день — и никакого шанса на восстановление

[NewsMaker]

Кто будет платить за MaaS, если он стучит на тебя с первой секунды?

---

---

Платформа по распространению вредоносного ПО DanaBot, действовавшая более семи лет, была выведена из строя в результате крупной международной операции под названием Для просмотра ссылки Войди или Зарегистрируйся . Ключевую роль в этом сыграла Для просмотра ссылки Войди или Зарегистрируйся в коде самой вредоносной программы, которая, по иронии, незаметно раскрывала её внутренности специалистам по информационной безопасности на протяжении более трёх лет. Ошибка получила название DanaBleed и стала одним из самых редких случаев, когда вредоносная инфраструктура невольно предоставляла полный доступ к своим секретам.

DanaBot представлял собой одну из старейших и стабильных Для просмотра ссылки Войди или Зарегистрируйся . С момента Для просмотра ссылки Войди или Зарегистрируйся в 2018 году ботнет предоставлял клиентам функциональность для банковских хищений, кражи учётных данных, получения удалённого доступа и проведения распределённых атак отказа в обслуживании. За годы своей активности он охватил тысячи заражённых систем, оставался устойчивым к ликвидации и регулярно обновлялся.

Всё изменилось с выходом версии 2380 в июне 2022 года. Тогда разработчики внедрили новый протокол управления (C2), но допустили критическую ошибку в логике генерации ответов сервера. Согласно техническому Для просмотра ссылки Войди или Зарегистрируйся Zscaler ThreatLabz, протокол должен был включать в ответы случайные padding-байты, однако выделяемая под них память не инициализировалась. Это приводило к тому, что в сетевых пакетах случайно утекали фрагменты из оперативной памяти сервера.

Уязвимость оказалась аналогичной по природе знаменитой Для просмотра ссылки Войди или Зарегистрируйся , обнаруженной в 2014 году в библиотеке OpenSSL. Только теперь жертвой утечки стала не защищающая, а атакующая сторона. Zscaler удалось незаметно для операторов DanaBot собрать и проанализировать тысячи ответов с C2-серверов, внутри которых обнаруживались:

• логины и IP-адреса участников группировки,
  
• данные о жертвах атак, включая их IP-адреса и украденные учётные записи,
  
• домены и IP-адреса серверов управления,
  
• фрагменты HTML-интерфейса админпанели DanaBot,
  
• приватные криптографические ключи,
  
• SQL-запросы, логи отладки и даже changelog’и вредоносного ПО.
  

Получив возможность наблюдать за всей деятельностью группировки «изнутри», специалисты в течение трёх лет вели скрытую работу по накоплению доказательств, не раскрывая источник информации. Разработчики и клиенты Для просмотра ссылки Войди или Зарегистрируйся не подозревали, что вся их инфраструктура функционировала в условиях утечки.

Когда массив данных стал достаточным, был инициирован координированный удар — Для просмотра ссылки Войди или Зарегистрируйся . В её рамках удалось отключить критические C2-серверы, конфисковать 650 доменов, прекратить распространение вредоноса и изъять почти 4 миллиона долларов в криптовалюте, находившихся на счетах операторов. При этом основная команда пока лишь получила обвинения — их арестовать не удалось.

Даже несмотря на то, что физически ключевые фигуранты пока на свободе, результат операции фактически нейтрализовал угрозу. Инфраструктура разрушена, доверие к платформе внутри киберпреступного сообщества подорвано, а раскрытие такой уязвимости, как DanaBleed, стало громким ударом по репутации разработчиков. Попытки возобновления операций в будущем не исключаются, однако скомпрометированное прошлое будет серьёзным препятствием для возврата на чёрный рынок.

DanaBot оказался жертвой собственного кода — редчайший случай, когда вредонос сам раскрыл все свои тайны. Ошибка в одном протоколе обернулась концом для всей операции.