Minulý týden americké ministerstvo spravedlnosti oznámilo, že tvůrce nechvalně proslulého bankovního malwaru SpyEye Alexander Andrejevič Panin (známý též jako Gribodemon nebo Harderman) přiznal u federálního soudu svoji vinu za trestný čin tvorby a distribuce škodlivého programu SpyEye. (TZ)
Odborníci ze společnosti Trend Micro byli klíčovou součástí vyšetřování a poměrně dlouho s FBI na tomto případu spolupracovali. Informace, které experti z Trend Micro dodali, například používaná online jména (tzv. handly) a účty, vedly zejména k možnosti odhalit skutečnou totožnost Panina a jeho společníků. Dovést vyšetřování do úspěšného konce znamenalo pro všechny zúčastněné strany vynaložení značného úsilí.
Jedním z Paninových společníků byl Hamza Bendelladj, který fungoval pod přezdívkou bx1. Jak Panin tak Bendelladj vytvářeli a nastavovali různé SpyEye domémy a servery, které jim umožňovaly získávat informace. Přestože SpyEye byl vytvořen tak, že jen nepatrná část těchto souborů byla k dispozici veřejně, Trend Micro se podařilo získat informace v těchto souborech a tyto informace obsahovaly (například) e-mailovou adresu řadiče serveru.
Informace získané z těchto konfiguračních souborů se pak korelovaly s informacemi získanými jinde. Experti ze společnosti Trend Micro například infiltrovali různá undergroundová fóra, o kterých se vědělo, že je Panin i Bendelladj navštěvují. Jen přečtením jejich příspěvků na fóru kriminálníci o sobě nevědomky odhalili informace typu e-mailová adresa, číslo ICQ nebo číslo Jabberu – což jsou všechno informace, pomocí kterých bylo možno odhalit jejich skutečnou totožnost.
Tým Trend Micro například odhalil C&C server lloydstsb.bz a související binární kódy a konfigurační soubory SpyEye. Dešifrované konfigurační soubory obsahovaly jméno (handle) bx1. Jeden konfigurační soubor na tomto serveru obsahoval také e-mailovou adresu. Pak byl nalezen druhý konfigurační soubor – také používající jméno bx1 – který obsahoval přihlašovací údaje pro virtest, službu pro testování detekcí, kterou používají počítačoví podvodníci.
“Panin si myslel, že za sebou dokonale zametl stopy, ale ukázalo se, že je zase tak dokonale nezametl. Postupem času, jak prodával SpyEye, začal být také nedbalý a neopatrný; přestože používal mnoho jmen (handlů) a e-mailových adres, podařilo se Trend Micro společně s FBI zjistit jeho skutečnou identitu,” řekl Rik Ferguson, viceprezident pro bezpečnostní výzkum společnosti Trend Micro.
Panin začal program SpyEye prodávat v roce 2009 a z produktu se rychle stala uznávaná konkurence tehdejšího známějšího malwaru ZeuS. Program SpyEye získal popularitu díky své nízké ceně a možnosti přidávat vlastní plug-iny, což ZeuS nenabízel.
Toto zatčení je důkazem, že těsná spolupráce výrobců bezpečnostních řešení a státních policejních orgánů může přinést pozitivní výsledky. “Tím, že jsme šli po samotných počítačových zločincích a ne jen po jejich serverech, povedlo se nám zasadit trvalou ránu celému podsvětí, nezpůsobili jsme jim jen škodu, kterou lze relativně lehce a rychle napravit. Věříme, že právě toto je způsob, jak s počítačovými zločinci bojovat a jak z Internetu udělat pro všechny jeho uživatele bezpečnější místo,” dodává Rik Ferguson.
O společnosti Trend Micro
Společnost Trend Micro Incorporated, přední světový dodavatel bezpečnostního softwaru, usiluje o vytvoření bezpečnějšího světa pro výměnu digitálních informací. Naše řešení pro soukromé i firemní zákazníky a státní správu poskytují víceúrovňovou ochranu obsahu na ochranu informací v mobilních zařízeních, koncových bodech, bránách, serverech a cloudu. Trend Micro nabízí inteligentní ochranu informací pomocí inovační bezpečnostní technologie, která se snadno implementuje a spravuje a kterou lze přizpůsobit rozvíjejícímu se ekosystému. Všechna naše řešení jsou založena na cloudové analýze globálních hrozeb v infrastruktuře Trend Micro™ Smart Protection Network™ a podporována více než 1200 odborníky na bezpečnost z celého světa. Další informace najdete na www.trendmicro.euee