650 доменов DanaBot сгорели за один день — и никакого шанса на восстановление
NewsMakerКто будет платить за MaaS, если он стучит на тебя с первой секунды?
Платформа по распространению вредоносного ПО DanaBot, действовавшая более семи лет, была выведена из строя в результате крупной международной операции под названием Operation Endgame . Ключевую роль в этом сыграла уязвимость в коде самой вредоносной программы, которая, по иронии, незаметно раскрывала её внутренности специалистам по информационной безопасности на протяжении более трёх лет. Ошибка получила название DanaBleed и стала одним из самых редких случаев, когда вредоносная инфраструктура невольно предоставляла полный доступ к своим секретам.
DanaBot представлял собой одну из старейших и стабильных MaaS-платформ . С момента появления в 2018 году ботнет предоставлял клиентам функциональность для банковских хищений, кражи учётных данных, получения удалённого доступа и проведения распределённых атак отказа в обслуживании. За годы своей активности он охватил тысячи заражённых систем, оставался устойчивым к ликвидации и регулярно обновлялся.
Всё изменилось с выходом версии 2380 в июне 2022 года. Тогда разработчики внедрили новый протокол управления (C2), но допустили критическую ошибку в логике генерации ответов сервера. Согласно техническому анализу Zscaler ThreatLabz, протокол должен был включать в ответы случайные padding-байты, однако выделяемая под них память не инициализировалась. Это приводило к тому, что в сетевых пакетах случайно утекали фрагменты из оперативной памяти сервера.
Уязвимость оказалась аналогичной по природе знаменитой HeartBleed , обнаруженной в 2014 году в библиотеке OpenSSL. Только теперь жертвой утечки стала не защищающая, а атакующая сторона. Zscaler удалось незаметно для операторов DanaBot собрать и проанализировать тысячи ответов с C2-серверов, внутри которых обнаруживались:
Когда массив данных стал достаточным, был инициирован координированный удар — операция Endgame . В её рамках удалось отключить критические C2-серверы, конфисковать 650 доменов, прекратить распространение вредоноса и изъять почти 4 миллиона долларов в криптовалюте, находившихся на счетах операторов. При этом основная команда пока лишь получила обвинения — их арестовать не удалось.
Даже несмотря на то, что физически ключевые фигуранты пока на свободе, результат операции фактически нейтрализовал угрозу. Инфраструктура разрушена, доверие к платформе внутри киберпреступного сообщества подорвано, а раскрытие такой уязвимости, как DanaBleed, стало громким ударом по репутации разработчиков. Попытки возобновления операций в будущем не исключаются, однако скомпрометированное прошлое будет серьёзным препятствием для возврата на чёрный рынок.
DanaBot оказался жертвой собственного кода — редчайший случай, когда вредонос сам раскрыл все свои тайны. Ошибка в одном протоколе обернулась концом для всей операции.
Платформа по распространению вредоносного ПО DanaBot, действовавшая более семи лет, была выведена из строя в результате крупной международной операции под названием Operation Endgame . Ключевую роль в этом сыграла уязвимость в коде самой вредоносной программы, которая, по иронии, незаметно раскрывала её внутренности специалистам по информационной безопасности на протяжении более трёх лет. Ошибка получила название DanaBleed и стала одним из самых редких случаев, когда вредоносная инфраструктура невольно предоставляла полный доступ к своим секретам.
DanaBot представлял собой одну из старейших и стабильных MaaS-платформ . С момента появления в 2018 году ботнет предоставлял клиентам функциональность для банковских хищений, кражи учётных данных, получения удалённого доступа и проведения распределённых атак отказа в обслуживании. За годы своей активности он охватил тысячи заражённых систем, оставался устойчивым к ликвидации и регулярно обновлялся.
Всё изменилось с выходом версии 2380 в июне 2022 года. Тогда разработчики внедрили новый протокол управления (C2), но допустили критическую ошибку в логике генерации ответов сервера. Согласно техническому анализу Zscaler ThreatLabz, протокол должен был включать в ответы случайные padding-байты, однако выделяемая под них память не инициализировалась. Это приводило к тому, что в сетевых пакетах случайно утекали фрагменты из оперативной памяти сервера.
Уязвимость оказалась аналогичной по природе знаменитой HeartBleed , обнаруженной в 2014 году в библиотеке OpenSSL. Только теперь жертвой утечки стала не защищающая, а атакующая сторона. Zscaler удалось незаметно для операторов DanaBot собрать и проанализировать тысячи ответов с C2-серверов, внутри которых обнаруживались:
- логины и IP-адреса участников группировки,
- данные о жертвах атак, включая их IP-адреса и украденные учётные записи,
- домены и IP-адреса серверов управления,
- фрагменты HTML-интерфейса админпанели DanaBot,
- приватные криптографические ключи,
- SQL-запросы, логи отладки и даже changelog’и вредоносного ПО.
Когда массив данных стал достаточным, был инициирован координированный удар — операция Endgame . В её рамках удалось отключить критические C2-серверы, конфисковать 650 доменов, прекратить распространение вредоноса и изъять почти 4 миллиона долларов в криптовалюте, находившихся на счетах операторов. При этом основная команда пока лишь получила обвинения — их арестовать не удалось.
Даже несмотря на то, что физически ключевые фигуранты пока на свободе, результат операции фактически нейтрализовал угрозу. Инфраструктура разрушена, доверие к платформе внутри киберпреступного сообщества подорвано, а раскрытие такой уязвимости, как DanaBleed, стало громким ударом по репутации разработчиков. Попытки возобновления операций в будущем не исключаются, однако скомпрометированное прошлое будет серьёзным препятствием для возврата на чёрный рынок.
DanaBot оказался жертвой собственного кода — редчайший случай, когда вредонос сам раскрыл все свои тайны. Ошибка в одном протоколе обернулась концом для всей операции.