Kaspersky Lab pomaga w międzynarodowej walce z trojanem bankowym Shylock
Eksperci z Kaspersky Lab uczestniczyli w globalnej akcji organów ścigania i firm, mającej na celu zatrzymanie szkodliwego programu Shylock.
W ramach operacji zamknięto domy internetowe oraz serwery, które stanowiły podstawę zaawansowanej infrastruktury cyberprzestępczej wykorzystywanej do atakowania systemów bankowości online na całym świecie.
8 i 9 lipca 2014 r. organy ścigania podjęły działania mające na celu zakłócenie systemu, na którym bazowały ataki trojana Shylock. W tym celu konieczne było odłączenie serwerów stanowiących system kontroli trojana oraz zamknięcie domen, których cyberprzestępcy używali do utrzymywania komunikacji z zainfekowanymi komputerami.
Operacja była koordynowana przez brytyjską agencję National Crime Agency (NCA) i uczestniczyły w niej zarówno organy ścigania, jak i prywatne firmy. W akcji – poza Kaspersky Lab - brały udział następujące organizacje: Europol, FBI, BAE Systems Applied Intelligence, Dell SecureWorks oraz komórka brytyjskiego wywiadu zajmująca się nasłuchem radiowym (GCHQ).
Większość działań dochodzeniowych przeprowadzono w europejskim centrum do walki z cyberprzestępczością (EC3) działającym w ramach Europolu w Hadze. Śledczy z Wielkiej Brytanii (NCA), Sanów Zjednoczonych (FBI), Włoch, Holandii i Turcji połączyli siły, by skoordynować operację we własnych krajach, przy współudziale agencji z Niemiec, Francji i Polski. Koordynacja działań przez Europol była kluczowa do wyłączenia serwerów stanowiących trzon cyberprzestępczej infrastruktury trojana Shylock. W działaniach tych uczestniczyła także organizacja CERT-EU.
W trakcie przeprowadzania operacji odkryto kilka nieznanych wcześniej elementów infrastruktury trojana, co pozwoliło na zainicjowanie kolejnych działań koordynowanych przez centrum operacyjne w Hadze.
Shylock zainfekował przynajmniej 30 000 komputerów działających pod kontrolą systemu Windows na całym świecie. Dochodzenie ujawniło, że na celowniku cyberprzestępców znajdowała się przede wszystkim Wielka Brytania, jednak ataki zarejestrowano także w Stanach Zjednoczonych, Włoszech i Turcji.
W typowym scenariuszu ataku użytkownik jest nakłaniany do kliknięcia szkodliwego odnośnika, po czym trafia do zasobu online, z którego ukradkowo pobierany jest trojan. Po instalacji w systemie Shylock szuka informacji pozwalających na uzyskanie dostępu do pieniędzy przechowywanych na firmowych oraz prywatnych kontach bankowych i przesyła je do cyberprzestępców.
Troels Oerting, szef centrum EC3 działającego w ramach Europolu, powiedział:
“Jesteśmy bardzo zadowoleni z wyniku operacji skierowanej przeciwko zaawansowanemu szkodliwemu programowi, która pozwoliła zatrzymać całą cyberprzestępczą infrastrukturę. Centrum EC3 dostarczyło unikatową platformę oraz zaplecze biurowe wyposażone w najnowocześniejsze metody bezpiecznej komunikacji, a także zapewniło śledczym dostęp do czołowych ekspertów i analityków z branży cyberbezpieczeństwa. W ten sposób byliśmy w stanie wspierać śledczych koordynowanych przez brytyjską agencję NCA i prowadzić prawdziwie międzynarodową operację, z udziałem FBI, a także jednostek z Włoch, Turcji i Holandii oraz specjalnych zespołów z Niemiec, Francji i Polski.
Z przyjemnością obserwowałem współpracę organów ścigania z wielu krajów. Po raz kolejny pokazaliśmy, że jesteśmy w stanie szybko reagować na cyberzagrożenia atakujące nie tylko w Europie, ale i na całym świecie. Ta operacja to kolejny krok w dobrym kierunku dla organów ścigania i śledczych w Europie. Szczególne podziękowania należą się firmie Kaspersky Lab, która w znacznym stopniu przyczyniła się do sukcesu akcji. Nasza współpraca będzie kontynuowana w kolejnych operacjach”.
Andy Archibald, zastępca dyrektora brytyjskiej agencji NCA, powiedział:
“Zadaniem NCA było reagowanie na zagrożenia dla firm i osób indywidualnych na całym świecie. Faza ta miała istotny wpływ na zamknięcie infrastruktury Shylocka i pokazała efektywność współpracy wielu organizacji na całym świecie w powstrzymywaniu cyberprzestępczości”.
Siergiej Golowanow, główny badacz bezpieczeństwa z Kaspersky Lab, który dokonał analizy szkodliwego programu i śledził jego aktywność na całym świecie, powiedział:
„Kampanie obejmujące oszustwa bankowe nie są już małymi, jednorazowymi akcjami cyberprzestępców. Obserwujemy duży wzrost tego typu działań – tylko w 2013 r. liczba cyberataków wykorzystujących szkodliwe programy zaprojektowane do kradzieży danych finansowych wzrosła o 27,6% i wyniosła 28,4 mln. Aby wspierać organizacje takie jak Europol w walce z cyberprzestępczością, dostarczamy szczegółowe analizy szkodliwych programów i monitorujemy aktywność zagrożeń na całym świecie. Globalne działania przynoszą świetne rezultaty, co doskonale widać na przykładzie operacji wycelowanej w Shlylocka”.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/news.