W ubiegłym tygodniu amerykański Departament Sprawiedliwości poinformował, że twórca sławnego złośliwego oprogramowania SpyEye Aleksandr Andreevich Panin (znany także jako Gribodemon iHarderman) przyznał się do winy w trakcie rozprawy toczącej się przed sądem federalnym w związku z zarzutami stworzenia i dystrybucji SpyEye. Zespół Trend Micro, który już od dłuższego czasu współpracował z FBI, odegrał kluczową rolę w śledztwie. Pomyślne zakończenie sprawy wymagało sporego wysiłku od wszystkich zaangażowanych stron.
Jednym ze wspólników Panina był Hamza Bendelladj posługujący się pseudonimem bx1. Zarówno Panin, jak i Bendelladj byli zamieszani w pisanie i zakładanie wielu domen i serwerów SpyEye, co umożliwiło zebranie informacji na temat ich twórców. Choć SpyEye został opracowany w taki sposób, aby bardzo nieliczne pliki były dostępne publicznie, zespołowi Trend Micro udało się dotrzeć do ukrytych danych i zebrać wiele ważnych informacji np. o adresach e-mail kontrolera danego serwera.
Dane pochodzące z plików konfiguracyjnych skorelowano z informacjami zebranymi z innych źródeł. Dzięki temu ekspertom Trend Micro udało się np. zinfiltrować różne podziemne fora, na których udzielał się zarówno Panin, jak i Bendelladj. Umieszczając posty, ujawniali oni również różne informacje na swój temat – adresy e-mail, numery ICQ i Jabber – wszystkie te dane mogły być wykorzystane do określenia ich tożsamości.
Zespół Trend Micro zlokalizował m.in. serwer C&C lloydstsb.bz, a także pliki binarne i konfiguracyjne powiązane ze SpyEye. W odszyfrowanych plikach znajdował się nick bx1, a w plikach konfiguracyjnych na serwerze adres e-mail. W innym odkrytym pliku konfiguracyjnym, w którym również pojawiał się nickbx1, znajdowały się dane do logowania na virtest – usłudze testującej poziom wykrywalności, z której korzystają cyberprzestępcy. Trend Micro wykorzystał wszystkie te informacje, aby pomóc FBI określić tożsamość kodera.
„Paninowi wydawało się, że doskonale zaciera po sobie ślady, dziś można jednak śmiało powiedzieć, że przecenił swoje umiejętności. Mniej więcej w momencie, gdy zaczął sprzedawać SpyEye, zrobił się nieuważny i mniej ostrożny. Co prawda wciąż używał wielu pseudonimów i adresów e-mail, lecz po tym, jak nasz zespół udostępnił wszystkie zebrane dane FBI, udało się namierzyć jego tożsamość” – mówi Rik Ferguson, Global VP Security Research w Trend Micro.
Panin rozpoczął sprzedaż SpyEye w 2009 r., a jego produkt szybko zyskał sobie renomę godnegokonkurenta bardziej znanego złośliwego oprogramowania ZeuS. SpyEye zawdzięczał swoją popularność niższej cenie i możliwości dodawania własnych wtyczek, której nie posiadał ZeuS.
Aresztowania cyberprzestępców są dowodem na to, jak skuteczna może być współpraca firm z branży bezpieczeństwa ze służbami zwalczającymi przestępców.
„Trend Micro wspiera organy ochrony porządku publicznego, które doprowadziły do aresztowania odpowiedzialnych osób, zamiast zwyczajnego zamknięcia tego czy innego serwera, co byłoby jedynie chwilowym zakłóceniem ich działalności. To właśnie dzięki takim działaniom realizujemy naszą misję kreowania świata pozwalającego na bezpieczną wymianę zdigitalizowanych informacji” – dodaje Rik Ferguson.
źródło: Trend Micro
