Banki Polski, Australii oraz Niemiec pod obstrzałem
DanaBot kontynuuje skoordynowany atak na pieniądze w bankach. Wśród celów znaleźli się również Polacy.
Trojan pojawił się w 2018 roku na terenie Australii. Stamtąd wyemigrował do Włoszech, Austrii oraz Ukrainy. Obecnie rozprzestrzenia się w Niemczech. DanaBot jest przykładem finansowej operacji na światową skalę. Kod użyty w programie ekspert Cybaze-Yoroi Zlab poza Włochami odkrył również w Ameryce Północnej. Badacze wirusów komputerowych w oparciu o odkryte w nim identyfikatory stwierdzili, że rozprzestrzenia się w nowe regiony. Pod wewnętrznym numerem dwadzieścia siedem trojan określił Niemcy. Wśród stron wykorzystanych do ataku znalazły się niemiecki BonPrix, Lidl, Saturn, Booking.com, Conrad, Espirit, Baur, Alternate, Rakuten oraz inne.
Dzięki nim system badał potencjalne cele. DanaBot aktywował się przy wykorzystaniu unikalnych odcisków sprzętowych, czyli unikalnego połączenia parametrów sprzętowo-programowych. Przykładem tego oznaczania komputerów są lista używanych czcionek, wersja przeglądarki, czy rozdzielczość ekranu. Im użyte są mniej popularne kombinacje powyższych tym łatwiej o przypisanie wirtualnej tożsamości do fizycznej osoby. DanBot koncentrował się na typowaniu jakie osoby będą najbardziej chętne do otwarcia spreparowanych stron internetowych na przykład CityBankOnline.pl.
Poziom zaawansowania w kamuflażu zdaniem ekspertów spowodował, że odkrycie iż ma się do czynienia z fałszywką był niezwykle utrudniony. Obecność kłódki świadczącej o połączeniach szyfrowanych, czcionka, układ graficzny i zachowanie okazały się praktycznie nie do odróżnienia. System DanaBot wykorzystuje zakażanie programów na stronach internetowych, co pozwala na łatwiejsze docieranie do potencjalnych ofiar.
Analitycy zauważyli, że od roku DanaBot ulega rozwojowi. Jego twórcy doskonalą między innymi przechwytywanie przeglądarek internetowych i danych umożliwiających łączność z serwerami za pomocą protokołu FTP. Obok tego kolekcjonuje informacje udostępniane w portfelach kryptowalutowych. Przekierowuje na zarażonej maszynie łączność przez maskowanie transferu za pomocą proxy. Tym sposobem analiza ruchu sieciowego jest utrudniona. Dodatkowym elementem jest wykonywanie zrzutów ekranu i nagrywanie filmów. Tym samym osoba nieopatrznie przebierająca się przed laptopem może stać się później bohaterem portali erotycznych, lub też wyrafinowanego szantażu.
Na tym lista możliwości się dopiero rozpoczyna. DanaBot pozwala na zdalne kierowanie komputerem za pomocą tak zwanego zdalnego pulpitu. Sterujący wirusem widzi wszystko, co mamy na naszym ekranie tak jakby przed nim siedział. Oprócz tego ma możliwość kierowania, co się na nim dzieje za pomocą myszki oraz klawiatury. Do aktualizacji (sic!) wykorzystuje sieć cebulową, co dodatkowo gmatwa możliwość śledzenia, jako że jest ona jednym z fundamentów darknetu.
Pod kampanią trzecią i piętnastą na celowniku przestępców znalazła się Polska. Docierał do naszych rodaków za pomocą linków w wiadomościach elektronicznych oraz w plikach z Google Docs. Od strony technicznej wykorzystuje kilka języków programowania. Posiada elementy pisane w typowo przeglądarkowych Java Script, pojawia się Visual Basic Script, kody w Python i C. Tym samym nie jest to kwestia nastawienia się wyłącznie na specyficzną implementację, lecz bardziej na metodę jaką posługują się atakujący. Szyfrowanie komunikacji trojana za pomocą dwustu pięćdziesięciu sześciu bitów umieszcza go wysoko w rankingu “bezpieczeństwa” transmisji atakowanego niewolnika-ofiary, a nadzorcy.
Od kwietnia 2019 koncentruje się na typowo geograficznym “pokrywaniu celów ogniem”, jak by to ujęli wojskowi. Używa bowiem fizycznego położenia jako punktu odniesienia do aktywowania, bądź zaniechania ataku. Dzięki modułowej budowie posiada możliwość ewoluowania i testowania systemów antywirusowych oraz firewall. Stanowi element siatki przestępczej, czyli obecnego wyglądu świata hakerów. Tu miejsce romantycznych bojowników zajęli haktywiści skoncentrowaniu za wyłudzaniu pieniędzy oraz ich kradzieży. W Polsce DanaBot podszywał się pod Urząd Skarbowy, co dawało mu skuteczność w naszych uwarunkowaniach. Pomimo ponad roku badania DanaBot ma się dobrze i jego zagrożenie dla naszego bezpieczeństwa nie maleje, lecz rośnie.
Jacek Skrzypacz
Źródło: Jacek Skrzypacz
