Eksperci z Kaspersky Lab uczestniczyli w globalnej akcji organów ścigania i firm, mającej na celu zatrzymanie szkodliwego programu Shylock. W ramach operacji zamknięto domy internetowe oraz serwery, które stanowiły podstawę zaawansowanej infrastruktury cyberprzestępczej wykorzystywanej do atakowania systemów bankowości online na całym świecie.
Operacja była koordynowana przez brytyjską agencję National Crime Agency (NCA) i uczestniczyły w niej zarówno organy ścigania, jak i prywatne firmy. W akcji - poza Kaspersky Lab - brały udział następujące organizacje: Europol, FBI, BAE Systems Applied Intelligence, Dell SecureWorks oraz komórka brytyjskiego wywiadu zajmująca się nasłuchem radiowym (GCHQ).
Większość działań dochodzeniowych przeprowadzono w europejskim centrum do walki z cyberprzestępczością (EC3) działającym w ramach Europolu w Hadze. Śledczy z Wielkiej Brytanii (NCA), Sanów Zjednoczonych (FBI), Włoch, Holandii i Turcji połączyli siły, by skoordynować operację we własnych krajach, przy współudziale agencji z Niemiec, Francji i Polski. Koordynacja działań przez Europol była kluczowa do wyłączenia serwerów stanowiących trzon cyberprzestępczej infrastruktury trojana Shylock. W działaniach tych uczestniczyła także organizacja CERT-EU.
W trakcie przeprowadzania operacji odkryto kilka nieznanych wcześniej elementów infrastruktury trojana, co pozwoliło na zainicjowanie kolejnych działań koordynowanych przez centrum operacyjne w Hadze.
Shylock zainfekował przynajmniej 30 000 komputerów działających pod kontrolą systemu Windows na całym świecie. Dochodzenie ujawniło, że na celowniku cyberprzestępców znajdowała się przede wszystkim Wielka Brytania, jednak ataki zarejestrowano także w Stanach Zjednoczonych, Włoszech i Turcji.
W typowym scenariuszu ataku użytkownik jest nakłaniany do kliknięcia szkodliwego odnośnika, po czym trafia do zasobu online, z którego ukradkowo pobierany jest trojan. Po instalacji w systemie Shylock szuka informacji pozwalających na uzyskanie dostępu do pieniędzy przechowywanych na firmowych oraz prywatnych kontach bankowych i przesyła je do cyberprzestępców.
Troels Oerting, szef centrum EC3 działającego w ramach Europolu, powiedział:
"Jesteśmy bardzo zadowoleni z wyniku operacji skierowanej przeciwko zaawansowanemu szkodliwemu programowi, która pozwoliła zatrzymać całą cyberprzestępczą infrastrukturę. Centrum EC3 dostarczyło unikatową platformę oraz zaplecze biurowe wyposażone w najnowocześniejsze metody bezpiecznej komunikacji, a także zapewniło śledczym dostęp do czołowych ekspertów i analityków z branży cyberbezpieczeństwa. W ten sposób byliśmy w stanie wspierać śledczych koordynowanych przez brytyjską agencję NCA i prowadzić prawdziwie międzynarodową operację, z udziałem FBI, a także jednostek z Włoch, Turcji i Holandii oraz specjalnych zespołów z Niemiec, Francji i Polski.
Z przyjemnością obserwowałem współpracę organów ścigania z wielu krajów. Po raz kolejny pokazaliśmy, że jesteśmy w stanie szybko reagować na cyberzagrożenia atakujące nie tylko w Europie, ale i na całym świecie. Ta operacja to kolejny krok w dobrym kierunku dla organów ścigania i śledczych w Europie. Szczególne podziękowania należą się firmie Kaspersky Lab, która w znacznym stopniu przyczyniła się do sukcesu akcji. Nasza współpraca będzie kontynuowana w kolejnych operacjach".
Andy Archibald, zastępca dyrektora brytyjskiej agencji NCA, powiedział:
"Zadaniem NCA było reagowanie na zagrożenia dla firm i osób indywidualnych na całym świecie. Faza ta miała istotny wpływ na zamknięcie infrastruktury Shylocka i pokazała efektywność współpracy wielu organizacji na całym świecie w powstrzymywaniu cyberprzestępczości".
Siergiej Golowanow, główny badacz bezpieczeństwa z Kaspersky Lab, który dokonał analizy szkodliwego programu i śledził jego aktywność na całym świecie, powiedział:
"Kampanie obejmujące oszustwa bankowe nie są już małymi, jednorazowymi akcjami cyberprzestępców. Obserwujemy duży wzrost tego typu działań - tylko w 2013 r. liczba cyberataków wykorzystujących szkodliwe programy zaprojektowane do kradzieży danych finansowych wzrosła o 27,6% i wyniosła 28,4 mln. Aby wspierać organizacje takie jak Europol w walce z cyberprzestępczością, dostarczamy szczegółowe analizy szkodliwych programów i monitorujemy aktywność zagrożeń na całym świecie. Globalne działania przynoszą świetne rezultaty, co doskonale widać na przykładzie operacji wycelowanej w Shlylocka".
źródło: Kaspersky Lab
poleca:
