SpyEye-Autor zu neun Jahren Gefängnis verurteilt

Originalbeitrag von Trend Micro Senior Threat Researchers

Aleksandr Andreevich Panin, der Autor der Banking-Schadsoftware SpyEye, ist in den USA wegen des Vorwurfs der Erstellung und Verbreitung von SpyEye zu neuneinhalb Jahren Gefängnis verurteilt worden.

Seine Verhaftung im Jahr 2013 war das Ergebnis der Zusammenarbeit von FBI, Trend Micro und weiterer Polizeibehörden sowie Industriepartner. Die von Trend Micro gelieferten Informationen (Online-„Handles“ und benutzte Konten) trugen dazu bei, die tatsächlichen Identitäten von Panin und seiner Komplizen zu finden.

Die Geschichte hinter SpyEye

SpyEye trat erstmals als “ZeuS-Killer” in Erscheinung. Die Schadsoftware galt als möglicher Nachfolger von ZeuS/ZBOT in einem Bot-Krieg. Wie auch ZBOT, ist SpyEye für den Diebstahl von Nutzerinformationen auf Banking- und anderen Finanz-Websites berüchtigt. Die Schadsoftware hat auch Rootkit-Fähigkeiten, sodass sie Prozesse und Dateien vor ihren Opfern verbergen kann.

Es hat im Laufe der Zeit mehrere Versionen gegeben. Einen großen Entwicklungssprung bewirkte der Abgang des ZeuS-Autors, bekannt als „Slavik” oder „Monstr,” und die Übergabe des Quellcodes an Panin (bekannt als „Gribodemon” oder „Harderman”).

SpyEye-Recherchen

Trend Micro war an den SpyEye-bezogenen Recherchen schon vor Panins Verhaftung beteiligt. 2011 fanden die Sicherheitsforscher heraus, dass ein Cyberkrimineller namens „Soldier“ mit SpyEye in sechs Monaten mehr als 3,2 Mio. $ verdient hatte. Dieser Angriff zielte hauptsächlich auf US-Nutzer. Unter den Opfern waren große Unternehmen und Institutionen wie die US-Regierung und Militär.

Panins Verhaftung und Verurteilung ist das Endergebnis einer Untersuchung, im Rahmen deren die Bewegungen von Panin und seinem Helfer Hamza Bendelladj (bekannt als „Bx1”) überwacht wurden. So infiltrierten Trend Micros Forscher verschiedene Untergrundforen, in denen die beiden Kriminellen verkehrten. Ihre Posts gaben unfreiwillig Informationen wie Mail-Adresse, ICQ-Nummer oder Jabber-Nummer preis – all diese Daten trugen zur Identifizierung ihrer tatsächlichen Identität bei.

Das FBI konnte aufgrund dieser Informationen und ihren eigenen Nachforschungen schließlich Panin und Bendelladj verhaften. Bendelladj ist in der arabisch sprechenden Hacking-Community zum Kult geworden. Kurz nach seiner Verhaftung gab es die Behauptung, der Kriminelle habe Hunderte Millionen Dollar gestohlen und sie Wohltätigkeitsorganisationen in Palästina gespendet. Auch wurde erzählt, er werde in den USA zum Tode verurteilt. Beiden Behauptungen widersprachen die US-Behörden.

Im Mai 2014 wurde der britische Cyberkriminelle James Bayliss verhaftet. Er hatte eng mit Panin am Code des ccgrabber-Plugins für SpyEye zusammengearbeitet. Dieses Plugin wurde für das Sammeln von Kreditkartennummern und CVVs (Card Verification Value) genutzt. Dafür analysierte die Schadsoftware POST-Anfragen, die die infizierte Maschine stellte. Auch hier gab es eine Zusammenarbeit zwischen Trend Micro und den britischen Polizeibehörden.

Die Bedeutung von Zusammenarbeit

Die vielen Verhaftungen und Schließungen zeigen deutlich, wie wichtig die Zusammenarbeit mit den Polizeibehörden beim Kampf gegen Cyberkriminalität ist. Allein kann keine der Gruppen Nutzer schützen und Cyberkriminalität stoppen.

Von der Partnerschaft profitieren alle. Die Sicherheitsanbieter können technisches Wissen und Können liefern, das den Polizeibehörden unter Umständen fehlt, und die Polizei stellt sicher, dass die Cyberkriminellen hinter Gitter kommen. Das Schließen von Infrastrukturen und Servern ist lediglich eine kurzfristige Lösung für das Problem der Cyberkriminalität – die Akteure selbst müssen gestoppt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*