Twórca szkodliwego oprogramowania bankowego SpyEye, Aleksandr Andriejewicz Panin, został skazany na dziewięć i pół roku więzienia. Jest to finał historii, którą w 2013 roku rozpoczęło aresztowanie Panina. Zatrzymanie cyberprzestępcy było możliwe dzięki współpracy FBI między innymi ze specjalistami Trend Micro. Dostarczone przez nas informacje (np. o pseudonimach i używanych kontach) pomogły w ustaleniu prawdziwej tożsamości Panina i jego wspólników.
Historia bota SpyEye
Gdy SpyEye po raz pierwszy pojawił się w cyberprzestrzeni, był określany jako „zabójca ZeuSa” ― ten, który może wygrać wojnę botów ze szkodliwym oprogramowaniem ZeuS/ZBOT. Podobnie jak ZBOT, SpyEye zyskał złą sławę z powodu kradzieży danych użytkowników serwisów bankowych i finansowych. Został również wyposażony w funkcje rootkita, które umożliwiają ukrywanie przed ofiarami wybranych procesów oraz plików.
Od czasu wprowadzenia bota SpyEye do cyberprzestrzeni można było zaobserwować jego systematyczną ewolucję do kilku następnych wersji. Jednym z przełomowych momentów było opuszczenie cyberprzestępczego obszaru przez twórcę ZeuSa (znanego jako „Slavik” lub „Monstr”), który przekazał kod źródłowy swojego bota Paninowi, znanemu jako „Gribodemon” lub „Harderman”.
Śledztwo w sprawie bota SpyEye
Firma Trend Micro zaangażowała się w śledztwo dotyczące SpyEye na długo przed aresztowaniem Panina. W 2011 roku przedstawiliśmy wyniki dochodzenia: cyberprzestępca o pseudonimie „Żołnierz” ukradł za pomocą SpyEye ponad 3,2 mln dolarów w ciągu sześciu miesięcy. Atak był wymierzony głównie w użytkowników amerykańskich, wśród których znalazły się duże przedsiębiorstwa i instytucje, w tym rząd i armia Stanów Zjednoczonych.
Aresztowanie i skazanie Panina zakończyło śledztwo, które obejmowało monitorowanie wszystkich ruchów tego cyberprzestępcy i jego wspólnika Hamzy Bendelladja (znanego jako „Bx1”). Nasi badacze infiltrowali różne podziemne fora, na których udzielali się Panin i Bendelladj. Obaj przestępcy w swoich postach przez nieuwagę ujawniali ułatwiające ich identyfikację dane, takie jak adresy e-mail czy numery w komunikatorach ICQ i Jabber.
Zebrane przez nas informacje udostępniliśmy FBI, które połączyło je z wynikami własnego rozpoznania, co doprowadziło do aresztowania zarówno Panina, jak i Bendelladja. Ten ostatni został zatrzymany w styczniu 2013 roku na lotnisku Suvarnabhumi w Bangkoku. Aresztowanie Panina miało miejsce w lipcu 2013 roku na międzynarodowym lotnisku Hartsfield-Jackson w Atlancie. Bendelladj został razem z Paninem zatrzymany i skazany na 15 lat więzienia.
Warto wspomnieć, że Bendelladj stał się kultową postacią w arabskojęzycznej społeczności hakerów. Wkrótce po jego zatrzymaniu pojawiły się informacje, jakoby kilkaset milionów dolarów, które ukradł, przekazał palestyńskim organizacjom charytatywnym. Pisano również o grożącej mu w Stanach Zjednoczonych karze śmierci. Przedstawiciele władz amerykańskich jednak zaprzeczyli obu tym pogłoskom (cyberprzestępstwa nie podlegają w tym kraju karze śmierci).
W maju 2014 roku aresztowano brytyjskiego cyberprzestępcę Jamesa Baylissa, który ściśle współpracował z Paninem podczas tworzenia kodu wtyczki ccgrabber do bota SpyEye. Wtyczka ta posłużyła do gromadzenia numerów i kodów CVV kart kredytowych poprzez analizę żądań POST wykonywanych przez zainfekowaną maszynę. Jego zatrzymanie również było rezultatem naszej współpracy z organami ścigania w Wielkiej Brytanii.
Współpraca to podstawa
Wszystkie powyżej opisywane zatrzymania potwierdzają to, jak ważna w walce z cyberprzestępczością jest współpraca firm z branży IT z organami ścigania. Żaden zespół nie może samodzielnie skutecznie ochronić użytkowników i powstrzymać cyberprzestępców.
Takie połączenie sił przynosi obustronne korzyści. Producenci zabezpieczeń mają wiedzę i kwalifikacje techniczne, których może brakować organom ścigania, a z kolei tylko one mogą doprowadzić cyberprzestępców przed sąd. Zajęcie infrastruktur i serwerów może być co najwyżej rozwiązaniem krótkoterminowym. Skuteczna walka z cyberprzestępczością wymaga zatrzymania samych sprawców.
Historia Aleksandra Panina i jego bota SpyEye:
2009
Aleksandr Panin zaczyna sprzedawać SpyEye ― stworzony przez siebie zestaw narzędzi trojana bankowego, który miał konkurować z popularnym trojanem ZeuS/ZBOT.
2010
- Twórcy botów SPYEYE i ZeuS/ZBOT zawierają porozumienie o połączeniu. Panin otrzymuje kod źródłowy oprogramowania ZeuS/ZBOT i integruje go ze swoją bazą kodów.
- W drugiej połowie roku liczba wykrytych infekcji trojanem SpyEye wzrasta 20-krotnie.
2011
Trend Micro prowadzi śledztwo w sprawie „Żołnierza” ― cyberprzestępcy, który stworzył i wykorzystywał botneta SpyEye, prawdopodobnie zarabiając na tym 3,2 mln USD w ciągu pół roku.
2013
- W styczniu Hamza Bendelladj, wspólnik Panina, zostaje zatrzymany w Tajlandii, w trakcie podróży do Egiptu.
- W lipcu Panin zostaje aresztowany na międzynarodowym lotnisku Hartsfield–Jackson w Atlancie (Stany Zjednoczone).
2014
Przed sądem federalnym Stanów Zjednoczonych Panin przyznaje się do zarzucanego mu czynu, tj. zmowy w celu popełnienia oszustwa telekomunikacyjnego i bankowego.
2016
20 kwietnia Panin zostaje skazany na karę dziewięć i pół roku więzienia.
Autor: Michał Jarski, Regional Sales Director CEE, Trend Micro