Narodziny SpyEye
Jest styczeń 2010 roku. Na hakerskim forum Darkode.com użytkownik o pseudonimie Gribodemon wrzuca ogłoszenie o sprzedaży całkowicie nowego narzędzia dla bankowych cyberprzestępców, nazwanego prowokacyjnie SpyEye. Ogłoszenia pojawiają się również na innych podziemnych, głównie rosyjskojęzycznych forach. Autor reklamował swoją aplikację jako lepszą od ówczesnego lidera cyberpółświatka, ZeuSa. Był tak pewny swojego produktu, że nawet nazywał go "ZeuS Killer".
Ceny nowego trojana wahały się od podstawowej wersji za 2000$ do 8000-10000$ za 'complete toolkit'. Malware miał za zadanie zainfekować komputer z Windowsem i opróżnić konto bankowe użytkownika, a wyróżniał się prostym GUI, dobrym wsparciem technicznym oraz — co było nowością — wtyczkami, które pełniły różne zadania w zależności od potrzeb klienta.
Fot. krebsonsecurity.com
Prawdopodobnie w połowie 2010 roku do Gribodemona dołącza niejaki bx1. Panowie tak dobrze promowali SpyEye, przyjmując marketingową strategię ograniczającą się tylko do sprawdzonych forów, że użytkownik o pseudonimie Slavik, który był domniemanym autorem ZeuSa, ogłosił pod koniec 2010 roku odejście na emeryturę, a w kwietniu 2011 roku potencjalnie był osobą, która wrzuciła kod ZeuSa do sieci.
Najwięcej technicznych analiz SpyEye opisała firma Trend Micro oraz blog dziennikarza śledczego Briana Krebsa i m.in. stamtąd możemy dowiedzieć się, co dokładnie zawierał malware w swoim arsenale.
Był to keylogger do rejestrowania klawiszy, form grabber do przechwytywania treści z formularzy, spreader do automatycznego rozprzestrzeniania trojana, ATS (Automated Transfer System) do automatyzacji przelewów czy webinject, który klasycznie wstrzykiwał kod do strony bankowej (np. prosząc o kod CCV karty kredytowej), ale w pewnych warunkach potrafił nawet blokować wyświetlane "lewych" transakcji, żeby użytkownik nawet po zalogowaniu w interfejsie bankowym niczego nie zauważył. Do tego dochodziły inne zaawansowane funkcjonalności, a wszystko ładnie podłączone do botnetu, zdolnego nawet do DDOS, sterowanego przez cyberprzestępców za pomocą kilku serwerów C&C.
FBI na tropie
Po wycofaniu się Slavika z czarnego rynku SpyEye całkowicie zdominował klientelę z cyberpodziemia i zaczął zbierać swoje żniwo, więc tylko kwestią czasu było, kiedy całym procederem miało się zająć FBI. W lutym 2011 roku służby federalne razem z specjalistami z zakresu informatyki, dzięki nakazowi sądowemu, przejęły jedną z przestępczych maszyn C&C zlokalizowaną w stanie Georgia.
Badacze cyberbezpieczeństwa znaleźli w pliku konfiguracyjnym serwera adres email, który był powiązany z użytkownikiem bx1 i doprowadził ich do profilu na popularnych mediach społecznościowych, które należało do niejakiego Hamza Bendelladja, obywatela Algierii.
Poza danymi domniemanego operatora ustalono, że serwer zarządzał małym botnetem ponad 200 zainfekowanych komputerów oraz zawierał ogrom informacji z różnych instytucji finansowych. FBI było wtedy prawie pewne, że Hamza jest współautorem trojana i pomocnikiem Gribodemona, ale tożsamość tego drugiego była ciągle nieznana.
Nie oznaczało to jednak, że federalne organy ścigania były w tyle za cyberprzestępcą. W czerwcu oraz lipcu 2011 roku podczas kontrolowanego zakupu agenci pod przykrywką kontaktowali się z Gribodemonem.
W grudniu 2011 roku akt oskarżenia przeciwko bx1 był gotowy, ale drugi autor SpyEye był jeszcze poza zasięgiem służb. Bezprecedensowa praca ekspertów z sektora prywatnego oraz umiejętności śledcze agentów FBI pozwoliły połączyć fakty na podstawie adresów mailowych, komunikatorów internetowych, przepływu pieniędzy (w tym z kontrolowanych zakupów) oraz rekordów whois.
Dlatego ostatecznie udało się ustalić w 2012 roku, że Gribodemon to Aleksandr Andreevich Panin i jest obywatelem Rosji. Panowie trafili na listę najbardziej poszukiwanych cyberprzestępców przez FBI oraz wystawiono za nimi listy gończe Interpolu.
Aresztowanie Hamzy i Saszy
Niestety, żadne znane mi źródło nie podaje dokładnie, jak autorzy SpyEye na siebie "wpadli". Daty na forum Darkode.com sugerują, że około połowy 2010 roku, ale z komunikatu prasowego prokuratury można wywnioskować, że do współpracy doszło już w 2009 roku. Zapewne połączyła ich chęć zarabiania, zdolności informatyczne oraz podobny wiek. Mimo wielu wspólnych mianowników aresztowania przebiegły całkowicie inaczej.
Fot. newarab.com
Hamzę zatrzymano w styczniu 2013 roku w Tajlandii podczas międzylądowania w podróży z rodziną między Malezją a Algierią (niektóre źródła podają Egipt).
Bx1 był nad wyraz spokojny, pożegnał się z żoną i córką, a na konferencji prasowej wydawał się bardzo uradowany całą sytuacją, co spowodowało, że media zaczęły go nazywać "wesołym hakerem".
Fot. usatoday.com
Z Paninem było całkowicie inaczej i dziwnie. Kiedy w lipcu 2013 roku wracał z Dominikany do Rosji, służby celne na lotnisku wylotowym podczas długiego sprawdzania dokumentów najpierw go zatrzymały, a potem wypuściły, co ostatecznie doprowadziło do tego, że samolot Gribodemona odleciał bez niego.
Służby przeprosiły i obiecały, że wsadzą go do kolejnego samolotu odlatującego do Moskwy. Tak też się stało, tylko samolot wylądował na... Międzynarodowym Lotnisku Hartsfield-Jackson w Atlancie w USA, gdzie aresztowało go FBI.
Taki manewr amerykańskich służb nikogo nie powinien dziwić, bo USA nie miało żadnych szans ekstradycji Saszy z Rosji, a Dominikana, mimo stosownych umów ze Stanami, niekoniecznie chciała się angażować formalnie w cały proces.
Finał
Ostatecznie przed sądem w Atlancie hakerzy zostali oskarżeni o spiskowanie, produkcję i dystrybucję złośliwego oprogramowania, różnego rodzaju oszustwa i wyrządzenie szkód na poziomie 1 miliarda dolarów użytkownikom indywidualnym oraz instytucjom finansowym z całego świata.
Obrońca Gribodemona próbował dowieść, że jego klient jest niewinny. Nic nie stworzył, a jest jedynie przypadkowym “spadkobiercą” cyfrowych zasobów od Slavika, czyli autora ZeuSa, który naprawdę nazywał się Ewgenij Bogaczew. Nie wiem, jaką linię obrony miał bx1 przed sądem, ale bardzo możliwe, że miało to związek z akcją, która trwała w algierskich social mediach.
Powstały grupy wsparcia wzywające do uwolnienia Hamzy, ochrzczono go algierskim Robin Hoodem, który rzekomo miał podarować 280 milionów dolarów na cele charytatywne i miała mu grozić kara śmierci.
Prawda jednak była taka, że cyberprzestępcy tuż przed aresztowaniem planowali wydać SpyEye 2.0, aby zarobić jeszcze więcej na sprzedaży trojana i kradzieży pieniędzy. Ich "pierwsza" wersja do 2012 roku zainfekowała około 50-60 milionów komputerów na całym świecie. Hamza osobiście zarządzał spamerskimi akcjami i wysłał miliony maili z zainfekowanymi załącznikami, które również trafiały do Polski.
Sprawa była tak poważna, że zaangażowano 26 różnych organów ścigania w 20 krajach oraz ogrom firm z prywatnego sektora, zwłaszcza Trend Micro, które całe śledztwo było technicznym wsparciem dla FBI.
W 2015 sąd w Atlancie finalnie skazał Hamzę na 15 lat bezwzględnego więzienia, a Panina na 9. Niektórzy klienci hakerów opowiedzieli się za swoje bankowe przestępstwa dokonywane za pomocą SpyEye. Na czarnym rynku pojawili się naśladowcy.
Zdjęcie główne: wygenerowane przez AI — DALL-E
Źródła: