SpyEye im Visier

Originalartikel von Loucif Kharouni, Senior Threat Researcher

Vor ein paar Tagen verkündete das US-amerikansche Justizministerium, dass sich der Autor der berüchtigten SpyEye Banking-Schadsoftware Aleksandr Andreevich Panin (auch als Gribodemon oder Harderman bekannt) der Erstellung und Verbreitung von SpyEye schuldig bekannt hatte. Trend Micro spielte bei den Ermittlungen in diesem Fall eine Schlüsselrolle und arbeitete über eine längere Zeit mit dem FBI zusammen.

Die Recherche

Diese Nachforschungen bedeuteten für alle Beteiligten harte Arbeit. Einer von Panins Komplizen war Hamza Bendelladj, alias bx1, mit dem er zusammen verschiedene SpyEye-Domänen und -Server erstellte und aufsetzte. Darüber konnte sich Trend Micro Informationen über das Paar beschaffen. Zwar hatten die beiden SpyEye so aufgesetzt, dass nur wenige dieser Dateien öffentlich verfügbar waren, doch konnte das Sicherheitsteam dennoch auf diese Dateien zugreifen und Informationen daraus entnehmen, so etwa die E-Mail-Adresse eines Server-Controllers.

Danach setzte das Team die Informationen aus diesen Konfigurationsdateien in einen Zuammenhang mit Daten aus anderen Quellen. Beispielsweise hatten die Trend Micro-Sicherheitsforscher verschiedene Untergrundforen, in denen Panin und Bendelladj verkehrten, unterwandert. In ihren Postings dort gaben die beiden Kriminellen unbeabsichtigt Informationen über sich preis, wie E-Mail-Adresse, ICQ-Nummer oder Jabber-Nummer. Das sind Daten, die ihre tatsächliche Identität verraten können.

So entdeckten die Sicherheitsforscher den C&C-Server lloydstsb.bz sowie die dazu gehörenden SpyEye-Binärdateien und Konfigurationsdateien. Die entschlüsselten Konfigurationsdateien enthielten den Handle bx1. Eine Konfigurationsdatei auf dem Server umfasste auch die E-Mail-Adresse airlord1988@gmail.com. Eine zweite Konfigurationsdatei, die ebenfalls den Namen bx1 nutzte, enthielt Anmeldeinformationen für virtest, einem von Cyberkriminellen genutzten Erkennungstest-Dienst.



Bild 1. Konfigurationsdateien

Der folgende Post in einem Untergrundforum zeigt, dass Bendelladj stärker in SpyEye involviert war, als er behauptete:

Bild 2. Post in einem Untergrundforum

Der folgende Graph zeigt das Beziehungsgeflecht zwischen verschiedenen Websites, E-Mail-Adressen und von Bendelladj genutzter Schadsoftware:

Bild 3. Das Diagramm zeigt das Verbindungsgeflecht zwischen Websites, E-Mail-Adressen und Schadsoftware

Ermittlungen gegen Gribodemon

Dieselbe Art der Recherche führte Trend Micro auch bezüglich Panin durch. Sie ergab, dass auch Panin, genauso wie sein Partner, Verbindungen zu verschiedenen Domänen und E-Mail-Adressen hatte.

Obwohl Panin glaubte, seine Spuren sehr gut zu verwischen, zeigt sich jetzt, dass er irrte. Zu der Zeit, als er SpyEye verkaufte, wurde er nachlässig und sorglos. Obwohl er mehrere Handles und E-Mail-Adressen verwendete, konnte Trend Micro zusammen mit dem FBI seine tatsächliche Identität aufdecken.

Panin begann 2009 mit dem Verkauf von SpyEye, und die Schadsoftware avancierte schnell zu einem beliebten Konkurrenten von ZeuS. Die Vorteile von SpyEye waren der niedrigere Preis und die Möglichkeit, angepasste Plugins hinzuzufügen – eine Fähigkeit, die ZeuS nicht besaß. Ende 2010 gab es zwei Posts, die gute Einblicke in SpyEyes Control Panles boten.

Bei einigen Cyberkriminellen war SpyEye aufgrund seines im Vergleich zu ZeuS qualitativ weniger guten Codings nicht sehr beliebt. Andere wiederum waren von den Funktionen SpyEyes angetan. Immerhin war SpyEye in der Cybercrime-Community so beliebt, dass Slavik, der Autor von ZeuS, bei seinem Ausscheiden Panin den Code für ZeuS überließ.

Panin nutzte diesen Code, um eine neue SpyEye-Version mit kombinierten Funktionen zu erstellen. Zudem gab er Teile des Codes an seine Komplizen, die SpyEye noch verbessern sollten. Spätere Versionen zeigten signifikante Änderungen am Code, einschließlich von Teilen aus dem ZeuS-Code.

Die Festnahme zeigt, wie fruchtbar die Zusammenarbeit zwischen Sicherheitsunternehmen und Polizeibehörden sein kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*