Ekosistem hacker di Rusia, lebih dari mungkin di mana pun di dunia, telah lama membingungkan batas antara kejahatan cyber, cyberwarfare yang didukung negara, dan spionase. Sekarang, dakwaan terhadap sekelompok warga negara Rusia dan penangkapan botnet mereka yang luas menawarkan contoh paling jelas dalam beberapa tahun terakhir tentang bagaimana operasi malware tunggal diduga memungkinkan operasi peretasan yang beragam seperti ransomware, serangan cyber perang di Ukraina, dan spionase terhadap pemerintah asing.
Departemen Kehakiman AS hari ini mengumumkan tuduhan pidana terhadap 16 individu yang otoritas penegak hukum telah hubungkan dengan operasi malware yang dikenal sebagai DanaBot, yang menurut keluhan menginfeksi setidaknya 300.000 mesin di seluruh dunia. Pengumuman DOJ tentang tuduhan tersebut menggambarkan kelompok tersebut sebagai “berbasis di Rusia,” dan menamai dua dari tersangka, Aleksandr Stepanov dan Artem Aleksandrovich Kalinkin, yang tinggal di Novosibirsk, Rusia. Lima tersangka lainnya disebutkan dalam dakwaan, sementara sembilan lainnya hanya diidentifikasi dengan nama samaran. Selain tuduhan itu, Departemen Kehakiman mengatakan bahwa Defense Criminal Investigative Service (DCIS) – cabang investigasi kriminal Departemen Pertahanan – melakukan penyitaan infrastruktur DanaBot di seluruh dunia, termasuk di AS.
Selain menuduh bagaimana DanaBot digunakan dalam peretasan kriminal berorientasi laba, dakwaan juga membuat klaim yang lebih jarang – itu menggambarkan bagaimana varian kedua malware yang katanya digunakan dalam spionase terhadap target militer, pemerintah, dan NGO. “Malware yang merajalela seperti DanaBot merugikan ratusan ribu korban di seluruh dunia, termasuk entitas militer, diplomatik, dan pemerintah yang sensitif, dan menyebabkan kerugian jutaan dolar,” tulis Jaksa AS Bill Essayli dalam sebuah pernyataan.
Sejak tahun 2018, DanaBot – yang dijelaskan dalam keluhan pidana sebagai “malware yang sangat invasif” – telah menginfeksi jutaan komputer di seluruh dunia, awalnya sebagai trojan perbankan yang dirancang untuk mencuri langsung dari pemilik PC dengan fitur modular yang dirancang untuk pencurian kartu kredit dan cryptocurrency. Namun, karena penciptanya diduga menjualnya dalam model “afiliasi” yang membuatnya tersedia bagi kelompok peretas lain dengan harga $3.000 hingga $4.000 per bulan, itu segera digunakan sebagai alat untuk menginstal berbagai bentuk malware dalam berbagai operasi, termasuk ransomware. Sasarannya juga dengan cepat menyebar dari korban awal di Ukraina, Polandia, Italia, Jerman, Austria, dan Australia ke lembaga keuangan AS dan Kanada, menurut analisis operasi oleh perusahaan keamanan cyber Crowdstrike.