Twórca bota SpyEye skazany na 9 lat więzienia

feature_2016-spyey-sentenceTwórca szkodliwego oprogramowania bankowego SpyEye, Aleksandr Andriejewicz Panin, został skazany na dziewięć i pół roku więzienia. Jest to finał historii, którą w 2013 roku rozpoczęło aresztowanie Panina. Zatrzymanie cyberprzestępcy było możliwe dzięki współpracy FBI między innymi ze specjalistami Trend Micro. Dostarczone przez nas informacje (np. o pseudonimach i używanych kontach) pomogły w ustaleniu prawdziwej tożsamości Panina i jego wspólników.

Historia bota SpyEye

Gdy SpyEye po raz pierwszy pojawił się w cyberprzestrzeni, był określany jako „zabójca ZeuSa” ― ten, który może wygrać wojnę botów ze szkodliwym oprogramowaniem ZeuS/ZBOT. Podobnie jak ZBOT, SpyEye zyskał złą sławę z powodu kradzieży danych użytkowników serwisów bankowych i finansowych. Został również wyposażony w funkcje rootkita, które umożliwiają ukrywanie przed ofiarami wybranych procesów oraz plików.

Od czasu wprowadzenia bota SpyEye do cyberprzestrzeni można było zaobserwować jego systematyczną ewolucję do kilku następnych wersji. Jednym z przełomowych momentów było opuszczenie cyberprzestępczego obszaru przez twórcę ZeuSa (znanego jako „Slavik” lub „Monstr”), który przekazał kod źródłowy swojego bota Paninowi, znanemu jako „Gribodemon” lub „Harderman”.

Śledztwo w sprawie bota SpyEye

Firma Trend Micro zaangażowała się w śledztwo dotyczące SpyEye na długo przed aresztowaniem Panina. W 2011 roku przedstawiliśmy wyniki dochodzenia: cyberprzestępca o pseudonimie „Żołnierz” ukradł za pomocą SpyEye ponad 3,2 mln dolarów w ciągu sześciu miesięcy. Atak był wymierzony głównie w użytkowników amerykańskich, wśród których znalazły się duże przedsiębiorstwa i instytucje, w tym rząd i armia Stanów Zjednoczonych.

Aresztowanie i skazanie Panina zakończyło śledztwo, które obejmowało monitorowanie wszystkich ruchów tego cyberprzestępcy i jego wspólnika Hamzy Bendelladja (znanego jako „Bx1”). Nasi badacze infiltrowali różne podziemne fora, na których udzielali się Panin i Bendelladj. Obaj przestępcy w swoich postach przez nieuwagę ujawniali ułatwiające ich identyfikację dane, takie jak adresy e-mail czy numery w komunikatorach ICQ i Jabber.

Zebrane przez nas informacje udostępniliśmy FBI, które połączyło je z wynikami własnego rozpoznania, co doprowadziło do aresztowania zarówno Panina, jak i Bendelladja. Ten ostatni został zatrzymany w styczniu 2013 roku na lotnisku Suvarnabhumi w Bangkoku. Aresztowanie Panina miało miejsce w lipcu 2013 roku na międzynarodowym lotnisku Hartsfield-Jackson w Atlancie. Bendelladj został razem z Paninem zatrzymany i skazany na 15 lat więzienia.

Warto wspomnieć, że Bendelladj stał się kultową postacią w arabskojęzycznej społeczności hakerów. Wkrótce po jego zatrzymaniu pojawiły się informacje, jakoby kilkaset milionów dolarów, które ukradł, przekazał palestyńskim organizacjom charytatywnym. Pisano również o grożącej mu w Stanach Zjednoczonych karze śmierci. Przedstawiciele władz amerykańskich jednak zaprzeczyli obu tym pogłoskom (cyberprzestępstwa nie podlegają w tym kraju karze śmierci).

W maju 2014 roku aresztowano brytyjskiego cyberprzestępcę Jamesa Baylissa, który ściśle współpracował z Paninem podczas tworzenia kodu wtyczki ccgrabber do bota SpyEye. Wtyczka ta posłużyła do gromadzenia numerów i kodów CVV kart kredytowych poprzez analizę żądań POST wykonywanych przez zainfekowaną maszynę. Jego zatrzymanie również było rezultatem naszej współpracy z organami ścigania w Wielkiej Brytanii.

Współpraca to podstawa

Wszystkie powyżej opisywane zatrzymania potwierdzają to, jak ważna w walce z cyberprzestępczością jest współpraca firm z branży IT z organami ścigania. Żaden zespół nie może samodzielnie skutecznie ochronić użytkowników i powstrzymać cyberprzestępców.

Takie połączenie sił przynosi obustronne korzyści. Producenci zabezpieczeń mają wiedzę i kwalifikacje techniczne, których może brakować organom ścigania, a z kolei tylko one mogą doprowadzić cyberprzestępców przed sąd. Zajęcie infrastruktur i serwerów może być co najwyżej rozwiązaniem krótkoterminowym. Skuteczna walka z cyberprzestępczością wymaga zatrzymania samych sprawców.

Historia Aleksandra Panina i jego bota SpyEye:

2009

Aleksandr Panin zaczyna sprzedawać SpyEye ― stworzony przez siebie zestaw narzędzi trojana bankowego, który miał konkurować z popularnym trojanem ZeuS/ZBOT.

2010

  • Twórcy botów SPYEYE i ZeuS/ZBOT zawierają porozumienie o połączeniu. Panin otrzymuje kod źródłowy oprogramowania ZeuS/ZBOT i integruje go ze swoją bazą kodów.
  • W drugiej połowie roku liczba wykrytych infekcji trojanem SpyEye wzrasta 20-krotnie.

2011

Trend Micro prowadzi śledztwo w sprawie „Żołnierza” ― cyberprzestępcy, który stworzył i wykorzystywał botneta SpyEye, prawdopodobnie zarabiając na tym 3,2 mln USD w ciągu pół roku.

2013

  • W styczniu Hamza Bendelladj, wspólnik Panina, zostaje zatrzymany w Tajlandii, w trakcie podróży do Egiptu.
  • W lipcu Panin zostaje aresztowany na międzynarodowym lotnisku Hartsfield–Jackson w Atlancie (Stany Zjednoczone).

2014

Przed sądem federalnym Stanów Zjednoczonych Panin przyznaje się do zarzucanego mu czynu, tj. zmowy w celu popełnienia oszustwa telekomunikacyjnego i bankowego.

2016

20 kwietnia Panin zostaje skazany na karę dziewięć i pół roku więzienia.

 

 

Autor: Michał Jarski, Regional Sales Director CEE, Trend Micro

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *