Tvůrci bankovního malwaru SpyEye zatčeni za pomoci expertů z Trend Micro

7. 2. 2014

Sdílet

 Autor: © Igor Korionov - Fotolia.com
Vývojáři SpyEye byli zatčeni na základě společné akce odborníků z Trend Micro a amerických bezpečnostních agentur. Alexandr Andrejevič Panin a komplic Hamza Bendelladj se přiznali.

Minulý týden americké ministerstvo spravedlnosti oznámilo, že tvůrce nechvalně proslulého bankovního malwaru SpyEye Alexander Andrejevič Panin (známý též jako Gribodemon nebo Harderman) přiznal u federálního soudu svoji vinu za trestný čin tvorby a distribuce škodlivého programu SpyEye. Odborníci ze společnosti Trend Micro byli klíčovou součástí vyšetřování a poměrně dlouho s FBI na tomto případu spolupracovali. Informace, které experti z Trend Micro dodali, například používaná online jména (tzv. handly) a účty, vedly zejména k možnosti odhalit skutečnou totožnost Panina a jeho společníků. Dovést vyšetřování do úspěšného konce znamenalo pro všechny zúčastněné strany vynaložení značného úsilí.

 

Kromě Gribodemona zatčen též bx1

Jedním z Paninových společníků byl Hamza Bendelladj, který fungoval pod přezdívkou bx1. Jak Panin tak Bendelladj vytvářeli a nastavovali různé SpyEye domémy a servery, které jim umožňovaly získávat informace. Přestože SpyEye byl vytvořen tak, že jen nepatrná část těchto souborů byla k dispozici veřejně, Trend Micro se podařilo získat informace v těchto souborech a tyto informace obsahovaly (například) e-mailovou adresu řadiče serveru. Informace získané z těchto konfiguračních souborů se pak korelovaly s informacemi získanými jinde. Experti ze společnosti Trend Micro například infiltrovali různá undergroundová fóra, o kterých se vědělo, že je Panin i Bendelladj navštěvují. Jen přečtením jejich příspěvků na fóru kriminálníci o sobě nevědomky odhalili informace typu e-mailová adresa, číslo ICQ nebo číslo Jabberu – což jsou všechno informace, pomocí kterých bylo možno odhalit jejich skutečnou totožnost.

 

Ani mnoho handlů nepomohlo

Tým Trend Micro například odhalil C&C server lloydstsb.bz a související binární kódy a konfigurační soubory SpyEye. Dešifrované konfigurační soubory obsahovaly jméno (handle) bx1. Jeden konfigurační soubor na tomto serveru obsahoval také e-mailovou adresu. Pak byl nalezen druhý konfigurační soubor – také používající jméno bx1 – který obsahoval přihlašovací údaje pro virtest, službu pro testování detekcí, kterou používají počítačoví podvodníci.

“Panin si myslel, že za sebou dokonale zametl stopy, ale ukázalo se, že je zase tak dokonale nezametl. Postupem času, jak prodával SpyEye, začal být také nedbalý a neopatrný; přestože používal mnoho jmen (handlů) a e-mailových adres, podařilo se Trend Micro společně s FBI zjistit jeho skutečnou identitu,” řekl Rik Ferguson, viceprezident pro bezpečnostní výzkum společnosti Trend Micro.

 

Z internetu udělat bezpečnější místo...

Panin začal program SpyEye prodávat v roce 2009 a z produktu se rychle stala uznávaná konkurence tehdejšího známějšího malwaru ZeuS. Program SpyEye získal popularitu díky své nízké ceně a možnosti přidávat vlastní plug-iny, což ZeuS nenabízel.  Toto zatčení je důkazem, že těsná spolupráce výrobců bezpečnostních řešení a státních policejních orgánů může přinést pozitivní výsledky. “Tím, že jsme šli po samotných počítačových zločincích a ne jen po jejich serverech, povedlo se nám zasadit trvalou ránu celému podsvětí, nezpůsobili jsme jim jen škodu, kterou lze relativně lehce a rychle napravit. Věříme, že právě toto je způsob, jak s počítačovými zločinci bojovat a jak z internetu udělat pro všechny jeho uživatele bezpečnější místo,” dodává Rik Ferguson.