Twórcy SpyEye aresztowani
Twórcy oprogramowania SpyEye zostali aresztowani dzięki wspólnej akcji Trend Micro i organów bezpieczeństwa Stanów Zjednoczonych. Aleksandr Andreevich Panin oraz jego wspólnik Hamza Bendelladj przyznali się do winy.
W ubiegłym tygodniu amerykański Departament Sprawiedliwości poinformował, że twórca sławnego złośliwego oprogramowania SpyEye Aleksandr Andreevich Panin (znany także jako Gribodemon i Harderman) przyznał się do winy w trakcie rozprawy toczącej się przed sądem federalnym w związku z zarzutami stworzenia i dystrybucji SpyEye. Zespół Trend Micro, który już od dłuższego czasu współpracował z FBI, odegrał kluczową rolę w śledztwie. Pomyślne zakończenie sprawy wymagało sporego wysiłku od wszystkich zaangażowanych stron.
Jednym ze wspólników Panina był Hamza Bendelladj posługujący się pseudonimem bx1. Zarówno Panin, jak i Bendelladj byli zamieszani w pisanie i zakładanie wielu domen i serwerów SpyEye, co umożliwiło zebranie informacji na temat ich twórców. Choć SpyEye został opracowany w taki sposób, aby bardzo nieliczne pliki były dostępne publicznie, zespołowi Trend Micro udało się dotrzeć do ukrytych danych i zebrać wiele ważnych informacji np. o adresach e-mail kontrolera danego serwera.
Dane pochodzące z plików konfiguracyjnych skorelowano z informacjami zebranymi z innych źródeł. Dzięki temu ekspertom udało się np. zinfiltrować różne podziemne fora, na których udzielał się zarówno Panin, jak i Bendelladj. Umieszczając posty, ujawniali oni również różne informacje na swój temat - adresy e-mail, numery ICQ i Jabber - wszystkie te dane mogły być wykorzystane do określenia ich tożsamości.
Zespół Trend Micro zlokalizował m.in. serwer C&C lloydstsb.bz, a także pliki binarne i konfiguracyjne powiązane ze SpyEye. W odszyfrowanych plikach znajdował się nick bx1, a w plikach konfiguracyjnych na serwerze adres e-mail. W innym odkrytym pliku konfiguracyjnym, w którym również pojawiał się nick bx1, znajdowały się dane do logowania na virtest - usłudze testującej poziom wykrywalności, z której korzystają cyberprzestępcy. Trend Micro wykorzystał wszystkie te informacje, aby pomóc FBI określić tożsamość kodera.
"Paninowi wydawało się, że doskonale zaciera po sobie ślady, dziś można jednak śmiało powiedzieć, że przecenił swoje umiejętności. Mniej więcej w momencie, gdy zaczął sprzedawać SpyEye, zrobił się nieuważny i mniej ostrożny. Co prawda wciąż używał wielu pseudonimów i adresów e-mail, lecz po tym, jak nasz zespół udostępnił wszystkie zebrane dane FBI, udało się namierzyć jego tożsamość" - mówi Rik Ferguson, Global VP Security Research w Trend Micro.
Panin rozpoczął sprzedaż SpyEye w 2009 r., a jego produkt szybko zyskał sobie renomę godnego konkurenta bardziej znanego złośliwego oprogramowania ZeuS. SpyEye zawdzięczał swoją popularność niższej cenie i możliwości dodawania własnych wtyczek, której nie posiadał ZeuS.