BezpieczeństwoTwórcy SpyEye aresztowani dzięki Trend Micro > redakcja Opublikowane 4 lutego 20140 0 174 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Zespół Trend Micro, który już od dłuższego czasu współpracował z FBI, odegrał kluczową rolę w śledztwie. Pomyślne zakończenie sprawy wymagało sporego wysiłku od wszystkich zaangażowanych stron.Jednym ze wspólników Panina był Hamza Bendelladj posługujący się pseudonimem bx1. Zarówno Panin, jak i Bendelladj byli zamieszani w pisanie i zakładanie wielu domen i serwerów SpyEye, co umożliwiło zebranie informacji na temat ich twórców. Choć SpyEye został opracowany w taki sposób, aby bardzo nieliczne pliki były dostępne publicznie, zespołowi Trend Micro udało się dotrzeć do ukrytych danych i zebrać wiele ważnych informacji np. o adresach e-mail kontrolera danego serwera.Dane pochodzące z plików konfiguracyjnych skorelowano z informacjami zebranymi z innych źródeł. Dzięki temu ekspertom Trend Micro udało się np. zinfiltrować różne podziemne fora, na których udzielał się zarówno Panin, jak i Bendelladj. Umieszczając posty, ujawniali oni również różne informacje na swój temat – adresy e-mail, numery ICQ i Jabber – wszystkie te dane mogły być wykorzystane do określenia ich tożsamości.Panin rozpoczął sprzedaż SpyEye w 2009 r., a jego produkt szybko zyskał sobie renomę godnego konkurenta bardziej znanego złośliwego oprogramowania ZeuS. SpyEye zawdzięczał swoją popularność niższej cenie i możliwości dodawania własnych wtyczek, której nie posiadał ZeuS.-Paninowi wydawało się, że doskonale zaciera po sobie ślady, dziś można jednak śmiało powiedzieć, że przecenił swoje umiejętności. Mniej więcej w momencie, gdy zaczął sprzedawać SpyEye, zrobił się nieuważny i mniej ostrożny. Co prawda wciąż używał wielu pseudonimów i adresów e-mail, lecz po tym, jak nasz zespół udostępnił wszystkie zebrane dane FBI, udało się namierzyć jego tożsamość – mówi Rik Ferguson, Global VP Security Research w Trend Micro.Zespół Trend Micro zlokalizował m.in. serwer C&C lloydstsb.bz, a także pliki binarne i konfiguracyjne powiązane ze SpyEye. W odszyfrowanych plikach znajdował się nick bx1, a w plikach konfiguracyjnych na serwerze adres e-mail. W innym odkrytym pliku konfiguracyjnym, w którym również pojawiał się nick bx1, znajdowały się dane do logowania na virtest – usłudze testującej poziom wykrywalności, z której korzystają cyberprzestępcy. Trend Micro wykorzystał wszystkie te informacje, aby pomóc FBI określić tożsamość kodera.– Trend Micro wspiera organy ochrony porządku publicznego, które doprowadziły do aresztowania odpowiedzialnych osób, zamiast zwyczajnego zamknięcia tego czy innego serwera, co byłoby jedynie chwilowym zakłóceniem ich działalności. To właśnie dzięki takim działaniom realizujemy naszą misję kreowania świata pozwalającego na bezpieczną wymianę zdigitalizowanych informacji – dodaje Rik Ferguson.
