A Trend Micro Incorporated szakértői szerint a SpyEye esete arra hívja fel a figyelmet, hogy rendkívül fontos az iparági összefogás a kiberbűnözők elleni harcban: Panint 2013-ban tartóztatták le az FBI nyomozásának köszönhetően, amelyet több iparági szereplő, köztük a Trend Micro is segített. A Trend Micro által átadott információnak köszönhetően sikerült kideríteni a bűnöző és tettestársai valódi személyazonosságát.

A sztori A SpyEye először "ZeuS killer" néven bukkant fel, ugyanis az a hír terjedt el róla, hogy ez a malware képes lenne legyőzni a ZeuS/ZBOT hálózatot egy botok közötti háborúban. A ZBOT-hoz hasonlóan a SpyEye célja is a bankokhoz és pénzügyi weboldalakhoz kapcsolódó felhasználói információk megszerzése. Emellett rootkit képességekkel is rendelkezik, ezen keresztül képes volt elrejteni a folyamatokat és fájlokat az áldozatok elől. Amióta megjelent, több verziójával is találkozhattunk. A legnagyobb fejlődés akkor történt, amikor a ZeuS alkotója, a "Slavik" és "Monstr" neveken ismert hacker elhagyta a terepet, és átadta a ZeuS forráskódját Panin, azaz "Gribodemon" vagy "Harderman" részére.

Komoly károk
A Trend Micro már jóval Panin letartóztatása előtt bekapcsolódott a SpyEye utáni nyomozásba. A vállalat 2011-ben hozta nyilvánosságra vizsgálatának eredményét, amely szerint a "Soldier" nevű kiberbűnöző a SpyEye segítségével majdnem 3,2 millió dollárt gyűjtött össze fél év alatt. Főként amerikai felhasználókat célzott meg, az érintettek között nagyvállalatok, illetve amerikai kormányzati és katonai szervek is szerepeltek.

"Amint azt a kutatásunk is alátámasztotta, a SpyEye-t felhasználva világszerte komoly károkat okoztak kiberbűnözők. Hazai áldozatokról nincs információnk, azonban fontos figyelembe venni, hogy az ilyen esetekkel kapcsolatban a Magyarországon működő vállalatoknak nincs bejelentési kötelezettségük, ilyen előírás csak az állami szervezetekre vonatkozik. Tehát előfordulhat, hogy volt hazai célpont is" - mondta el Bárány Zsolt, a Trend Micro szakértője, Magyarországért és Romániáért felelős regionális ügyfélmenedzsere.

Nyomozás a SpyEye után
Panin letartóztatása és ítélete annak a nyomozásnak az eredménye, amely során folyamatosan nyomon követték Panin és tettestársa, Hamza Bendelladj (azaz Bx1) mozgását, illetve a SpyEye-ból kinyerhető információkat is elemezték.

A malware-t úgy alakították ki, hogy a domainek és szerverek információit tartalmazó fájlokból csak nagyon kevés legyen nyilvános, azonban a Trend Micro szakértői képesek voltak megszerezni ezeket a fájlokat és a bennük rejlő információkat, és megtalálták köztük például a szerver felett ellenőrzést gyakorló személyek e-mail címeit. Ezeket aztán a vállalat szakemberei összevetették egyéb forrásokból származó információkkal is. A Trend Micro kutatói ugyanis több különféle földalatti fórumba is beszivárogtak, amelyeket információik szerint Panin és Bendelladj is látogattak.

A hackerek bejegyzései akaratukon kívül is elárultak olyan adatokat, például e-mail címeket, illetve ICQ vagy Jabber számokat, amelyek hozzájárulhattak a valódi személyazonosságuk leleplezéséhez. A vállalat végül az összes információt átadta az FBI-nak, és ezek is elősegítették a két hacker letartóztatását.

Bendelladj-t a bangkoki Suvarnabhumi Repülőtéren vették őrizetbe 2013 januárjában, őt végül 15 évi börtönbüntetésre ítélték. Panint pedig 2013 júliusában tartóztatták le az atlantai repülőtéren, az ő ügyében nemrégiben született meg az ítélet a közel tízéves elzárásról. Bendelladj időközben egyfajta kulthőssé nőtte ki magát az arab nyelvű hackerek körében. Nem sokkal a letartóztatása után az a hír terjedt el, hogy több millió dollárt lopott el és adományozott palesztin jótékonysági szervezeteknek, illetve arról is elindult egy szóbeszéd, hogy halálbüntetéssel fogják sújtani Amerikában.

Az Egyesült Államok hivatalos szervei azonban cáfolták mindkét értesülést, hozzátéve, hogy a kiberbűnözés az USA-ban nem számít főbenjáró vétségnek. 2014 májusában egy James Bayliss nevű brit kiberbűnözőt is letartóztattak, aki szorosan együttműködött Paninnal a SpyEye-hoz készült ccgrabber plugin elkészítésében, amelyet a hitel- és bankkártyaszámok, illetve CVV kódok begyűjtéséhez használtak fel. Ebben az elfogásban szintén együttműködött a hatóságokkal a Trend Micro. Ezek a letartóztatások is mutatják, mennyire fontos a kiberbűnözők elleni harcban az együttműködés a bűnüldöző szervekkel. Egyedül, önmagában egyetlen csoport sem tudja megvédeni a felhasználókat és megállítani a kiberbűnözést, ezért létfontosságú a közös munka és az információk megosztása. Az együttműködés mindkét oldal számára előnyös.

Az IT biztonsági vállalatoknál rendelkeznek azok az eszközökkel és azzal a tudással, amely esetleg hiányzik a bűnüldöző szerveknél, míg a bűnüldöző szervek képesek arról gondoskodni, hogy a kiberbűnözők rács mögé kerüljenek, és ott is maradjanak hosszú ideig. A bűnelkövetéshez használt infrastruktúrák és szerverek lekapcsolása csak rövid távú megoldás. Ahhoz, hogy valóban vissza lehessen szorítani a kiberbűnözést, magukat az elkövetőket kell megállítani.

Kövesd az oldalunkat a Facebook-on és a Twitteren is!