Na semana passada foi anunciado pelo
Departamento de Justiça dos Estados Unidos que o criador do notório
malware bancário SpyEye, Aleksandr Andreevich Panin (também conhecido
como Gribodemon ou Harderman), declarou-se culpado perante um tribunal
federal para encargos relacionados com a criação e distribuição do
SpyEye.
A Trend Micro, especializada em soluções de segurança na
era da nuvem, teve participação na investigação e tem trabalhado com o
FBI neste caso por algum tempo, o que demandou um esforço considerável
de todas as partes envolvidas para que houvesse uma conclusão
bem-sucedida para este inquérito.
Abaixo, a Trend Micro revela o passo a passo da investigação e a contribuição da empresa no caso.
A investigação
Um dos cúmplices de Panin foi Hamza Bendelladj, que atendia pelo pseudônimo de bx1. Ambos, Panin e Bendelladj, estavam envolvidos na criação e estabelecimento de vários domínios e servidores SpyEye, que foi como a Trend Micro foi capaz de obter informações sobre o par de criminosos. Enquanto o malware foi criado de uma forma em que somente alguns destes arquivos estavam disponíveis publicamente, a companhia de SI foi capaz de obtê-los e adquirir as informações contidas nestes arquivos, o que incluiu, por exemplo, o endereço de email do controlador de um servidor.
A desenvolvedora passou a correlacionar as informações obtidas a partir destes arquivos de configuração com as informações que havia recolhido em outros lugares. Por exemplo, os pesquisadores da Trend Micro infiltraram-se em vários fóruns clandestinos nos quais ambos Panin e Bendelladj eram visitantes conhecidos, e passaram a ler suas mensagens, que inadvertidamente divulgavam informações como endereços de e-mail, número de ICQ, ou número de Jabber - todas informações que poderiam revelar suas reais identidades.
O mesmo tipo de investigação foi realizada para analisar Panin. Tal como aconteceu com o seu parceiro no crime, foi descoberto que Panin estava ligado a vários nomes de domínio e endereços de email.
Durante o tempo em que ele estava vendendo o SpyEye, ele se tornou muito desleixado e também particularmente não muito cuidadoso; apesar de usar vários identificadores e endereços de e-mail, a Trend Micro, trabalhando em conjunto com o FBI, descobriu a verdadeira identidade do hacker.
Panin começou a vender o SpyEye em 2009, e ele rapidamente se tornou um concorrente para o malware ZeuS. Na época, ele era popular devido ao baixo custo e capacidade de adição de plug-ins personalizados, algo que o ZeuS não oferecia. No final de 2010 , em duas postagens, a Trend Micro deu uma boa olhada nos painéis de controle do SpyEye.
Alguns criminosos virtuais não eram particularmente afeiçoados ao SpyEye, devido à má codificação em comparação com o ZeuS, enquanto outros gostavam das características que o malware oferecia. Seja qual for o caso, o SpyEye era conhecido o suficiente na comunidade de cibercrime, uma vez que, quando o criador do ZeuS foi embora, ele deu o código a Panin.
Panin usou esse código para criar uma nova versão do SpyEye que combinava características de ambas as versões mais antigas dos dois vírus. Além disso, ele fez um outsourcing do desenvolvimento de algum dos códigos com cúmplices (como Bendelladj), à fim de melhorar a qualidade do arquivo malicioso. Versões posteriores mostraram alterações significativas no código subjacente, incluindo a reutilização de código a partir do ZeuS.
Esta prisão mostra como empresas de segurança, trabalhando em estreita colaboração com agências policiais e de investigação criminal pode produzir resultados. Ao perseguir os próprios criminosos virtuais em vez dos servidores, é garantido que danos permanentes fossem feitos ao universo clandestino, ao invés de danos relativamente rápidos e facilmente reparáveis causados por suspensões e bloqueios.
Abaixo, a Trend Micro revela o passo a passo da investigação e a contribuição da empresa no caso.
A investigação
Um dos cúmplices de Panin foi Hamza Bendelladj, que atendia pelo pseudônimo de bx1. Ambos, Panin e Bendelladj, estavam envolvidos na criação e estabelecimento de vários domínios e servidores SpyEye, que foi como a Trend Micro foi capaz de obter informações sobre o par de criminosos. Enquanto o malware foi criado de uma forma em que somente alguns destes arquivos estavam disponíveis publicamente, a companhia de SI foi capaz de obtê-los e adquirir as informações contidas nestes arquivos, o que incluiu, por exemplo, o endereço de email do controlador de um servidor.
A desenvolvedora passou a correlacionar as informações obtidas a partir destes arquivos de configuração com as informações que havia recolhido em outros lugares. Por exemplo, os pesquisadores da Trend Micro infiltraram-se em vários fóruns clandestinos nos quais ambos Panin e Bendelladj eram visitantes conhecidos, e passaram a ler suas mensagens, que inadvertidamente divulgavam informações como endereços de e-mail, número de ICQ, ou número de Jabber - todas informações que poderiam revelar suas reais identidades.
O mesmo tipo de investigação foi realizada para analisar Panin. Tal como aconteceu com o seu parceiro no crime, foi descoberto que Panin estava ligado a vários nomes de domínio e endereços de email.
Durante o tempo em que ele estava vendendo o SpyEye, ele se tornou muito desleixado e também particularmente não muito cuidadoso; apesar de usar vários identificadores e endereços de e-mail, a Trend Micro, trabalhando em conjunto com o FBI, descobriu a verdadeira identidade do hacker.
Panin começou a vender o SpyEye em 2009, e ele rapidamente se tornou um concorrente para o malware ZeuS. Na época, ele era popular devido ao baixo custo e capacidade de adição de plug-ins personalizados, algo que o ZeuS não oferecia. No final de 2010 , em duas postagens, a Trend Micro deu uma boa olhada nos painéis de controle do SpyEye.
Alguns criminosos virtuais não eram particularmente afeiçoados ao SpyEye, devido à má codificação em comparação com o ZeuS, enquanto outros gostavam das características que o malware oferecia. Seja qual for o caso, o SpyEye era conhecido o suficiente na comunidade de cibercrime, uma vez que, quando o criador do ZeuS foi embora, ele deu o código a Panin.
Panin usou esse código para criar uma nova versão do SpyEye que combinava características de ambas as versões mais antigas dos dois vírus. Além disso, ele fez um outsourcing do desenvolvimento de algum dos códigos com cúmplices (como Bendelladj), à fim de melhorar a qualidade do arquivo malicioso. Versões posteriores mostraram alterações significativas no código subjacente, incluindo a reutilização de código a partir do ZeuS.
Esta prisão mostra como empresas de segurança, trabalhando em estreita colaboração com agências policiais e de investigação criminal pode produzir resultados. Ao perseguir os próprios criminosos virtuais em vez dos servidores, é garantido que danos permanentes fossem feitos ao universo clandestino, ao invés de danos relativamente rápidos e facilmente reparáveis causados por suspensões e bloqueios.
Fonte: Risk Report
Nenhum comentário:
Postar um comentário
Observação: somente um membro deste blog pode postar um comentário.