Walka z trojanem bankowym Shylock
Trwa globalna akcja organów ścigania i firm, mająca na celu zatrzymanie szkodliwego programu Shylock. W ramach operacji zamknięto domy internetowe oraz serwery, które stanowiły podstawę zaawansowanej infrastruktury cyberprzestępczej wykorzystywanej do atakowania systemów bankowości online na całym świecie.
Organy ścigania podjęły działania mające na celu zakłócenie systemu, na którym bazowały ataki trojana Shylock. W tym celu konieczne było odłączenie serwerów stanowiących system kontroli trojana oraz zamknięcie domen, których cyberprzestępcy używali do utrzymywania komunikacji z zainfekowanymi komputerami.
Operacja była koordynowana przez brytyjską agencję National Crime Agency (NCA) i uczestniczyły w niej zarówno organy ścigania, jak i prywatne firmy. W akcji - poza Kaspersky Lab - brały udział następujące organizacje: Europol, FBI, BAE Systems Applied Intelligence, Dell SecureWorks oraz komórka brytyjskiego wywiadu zajmująca się nasłuchem radiowym (GCHQ).
Większość działań dochodzeniowych przeprowadzono w europejskim centrum do walki z cyberprzestępczością (EC3) działającym w ramach Europolu w Hadze. Śledczy z Wielkiej Brytanii (NCA), Sanów Zjednoczonych (FBI), Włoch, Holandii i Turcji połączyli siły, by skoordynować operację we własnych krajach, przy współudziale agencji z Niemiec, Francji i Polski. Koordynacja działań przez Europol była kluczowa do wyłączenia serwerów stanowiących trzon cyberprzestępczej infrastruktury trojana Shylock. W działaniach tych uczestniczyła także organizacja CERT-EU.
W trakcie przeprowadzania operacji odkryto kilka nieznanych wcześniej elementów infrastruktury trojana, co pozwoliło na zainicjowanie kolejnych działań koordynowanych przez centrum operacyjne w Hadze.
Shylock zainfekował przynajmniej 30 000 komputerów działających pod kontrolą systemu Windows na całym świecie. Dochodzenie ujawniło, że na celowniku cyberprzestępców znajdowała się przede wszystkim Wielka Brytania, jednak ataki zarejestrowano także w Stanach Zjednoczonych, Włoszech i Turcji.
W typowym scenariuszu ataku użytkownik jest nakłaniany do kliknięcia szkodliwego odnośnika, po czym trafia do zasobu online, z którego ukradkowo pobierany jest trojan. Po instalacji w systemie Shylock szuka informacji pozwalających na uzyskanie dostępu do pieniędzy przechowywanych na firmowych oraz prywatnych kontach bankowych i przesyła je do cyberprzestępców.
- Jesteśmy bardzo zadowoleni z wyniku operacji skierowanej przeciwko zaawansowanemu szkodliwemu programowi, która pozwoliła zatrzymać całą cyberprzestępczą infrastrukturę. Centrum EC3 dostarczyło unikatową platformę oraz zaplecze biurowe wyposażone w najnowocześniejsze metody bezpiecznej komunikacji, a także zapewniło śledczym dostęp do czołowych ekspertów i analityków z branży cyberbezpieczeństwa. W ten sposób byliśmy w stanie wspierać śledczych koordynowanych przez brytyjską agencję NCA i prowadzić prawdziwie międzynarodową operację, z udziałem FBI, a także jednostek z Włoch, Turcji i Holandii oraz specjalnych zespołów z Niemiec, Francji i Polski - powiedział Troels Oerting, szef centrum EC3 działającego w ramach Europolu.
- Kampanie obejmujące oszustwa bankowe nie są już małymi, jednorazowymi akcjami cyberprzestępców. Obserwujemy duży wzrost tego typu działań - tylko w 2013 r. liczba cyberataków wykorzystujących szkodliwe programy zaprojektowane do kradzieży danych finansowych wzrosła o 27,6% i wyniosła 28,4 mln. Aby wspierać organizacje takie jak Europol w walce z cyberprzestępczością, dostarczamy szczegółowe analizy szkodliwych programów i monitorujemy aktywność zagrożeń na całym świecie. Globalne działania przynoszą świetne rezultaty, co doskonale widać na przykładzie operacji wycelowanej w Shlylocka - komentuje Siergiej Golowanow, główny badacz bezpieczeństwa z Kaspersky Lab, który dokonał analizy szkodliwego programu i śledził jego aktywność na całym świecie.