Twórcy SpyEye aresztowani

3 lutego, 2014

W ubiegłym tygodniu amerykański Departament Sprawiedliwości poinformował, że twórca sławnego złośliwego oprogramowania SpyEye Aleksandr Andreevich Panin (znany także jako Gribodemon iHarderman) przyznał się do winy w trakcie rozprawy toczącej się przed sądem federalnym w związku z zarzutami stworzenia i dystrybucji SpyEye. Zespół Trend Micro, który już od dłuższego czasu współpracował z FBI, odegrał kluczową rolę w śledztwie. Pomyślne zakończenie sprawy wymagało sporego wysiłku od wszystkich zaangażowanych stron.

Jednym ze wspólników Panina był Hamza Bendelladj posługujący się pseudonimem bx1. Zarówno Panin, jak i Bendelladj byli zamieszani w pisanie i zakładanie wielu domen i serwerów SpyEye, co umożliwiło zebranie informacji na temat ich twórców. Choć SpyEye został opracowany w taki sposób, aby bardzo nieliczne pliki były dostępne publicznie, zespołowi Trend Micro udało się dotrzeć do ukrytych danych i zebrać wiele ważnych informacji np. o adresach e-mail kontrolera danego serwera.

spyeye big

Dane pochodzące z plików konfiguracyjnych skorelowano z informacjami zebranymi z innych źródeł. Dzięki temu ekspertom Trend Micro udało się np. zinfiltrować różne podziemne fora, na których udzielał się zarówno Panin, jak i Bendelladj. Umieszczając posty, ujawniali oni również różne informacje na swój temat – adresy e-mail, numery ICQ i Jabber – wszystkie te dane mogły być wykorzystane do określenia ich tożsamości.

Zespół Trend Micro zlokalizował m.in. serwer C&C lloydstsb.bz, a także pliki binarne i konfiguracyjne powiązane ze SpyEye. W odszyfrowanych plikach znajdował się nick bx1, a w plikach konfiguracyjnych na serwerze adres e-mail. W innym odkrytym pliku konfiguracyjnym, w którym również pojawiał się nickbx1, znajdowały się dane do logowania na virtest – usłudze testującej poziom wykrywalności, z której korzystają cyberprzestępcy. Trend Micro wykorzystał wszystkie te informacje, aby pomóc FBI określić tożsamość kodera.

„Paninowi wydawało się, że doskonale zaciera po sobie ślady, dziś można jednak śmiało powiedzieć, że przecenił swoje umiejętności. Mniej więcej w momencie, gdy zaczął sprzedawać SpyEye, zrobił się nieuważny i mniej ostrożny. Co prawda wciąż używał wielu pseudonimów i adresów e-mail, lecz po tym, jak nasz zespół udostępnił wszystkie zebrane dane FBI, udało się namierzyć jego tożsamość” – mówi Rik Ferguson, Global VP Security Research w Trend Micro.

Panin rozpoczął sprzedaż SpyEye w 2009 r., a jego produkt szybko zyskał sobie renomę godnegokonkurenta bardziej znanego złośliwego oprogramowania ZeuS. SpyEye zawdzięczał swoją popularność niższej cenie i możliwości dodawania własnych wtyczek, której nie posiadał ZeuS.

Aresztowania cyberprzestępców są dowodem na to, jak skuteczna może być współpraca firm z branży bezpieczeństwa ze służbami zwalczającymi przestępców.

„Trend Micro wspiera organy ochrony porządku publicznego, które doprowadziły do aresztowania odpowiedzialnych osób, zamiast zwyczajnego zamknięcia tego czy innego serwera, co byłoby jedynie chwilowym zakłóceniem ich działalności. To właśnie dzięki takim działaniom realizujemy naszą misję kreowania świata pozwalającego na bezpieczną wymianę zdigitalizowanych informacji – dodaje Rik Ferguson.

źródło: Trend Micro

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]