Computerworld News Service: De kriminelle, der med udgangspunkt i botnettet Zeus foreløbigt har stjålet mere end 50 millioner kroner fra flere engelske banker, har tilsyneladende brugt mere tid på at få styr på logistikken i selve røveriet end på at sikre deres egne cyberspor.
Zeus-værktøjet - som du kan læse mere om her - har fået et nyt formål: At stjæle netbankskoder via sms.
Det fortæller chefen for en virksomhed, som sælger sikkerhedsløsninger til banker og software, der kan spore malware-aktivitet i bankkundernes computere.
Sporene står åbne
I øjeblikket lader de kriminelle grupper, som anvender Zeus, sporene stå åbne.
Det betyder, at man for eksempel kan finde frem til de såkaldte command and control-servere.
Desuden benytter de sig ofte af servere, der befinder sig i det samme geografiske område, hvor tyveriet også foregår, siger Mickey Boodaei, som er administrerende direktør for Trusteer, som leverer løsninger til browser-sikkerhed.
"De er ikke specielt gode til at skjule deres spor," siger Mickey Boodaei.
"Deres egen sikkerhed er ikke prioriteret særligt højt. De fokuserer i stedet på det praktiske spørgsmål om at få pengene ud af banken."
19 anholdt
Det engelske politi har anholdt 19 personer på mistanken om, at de har brugt trojaneren Zeus til at skaffe sig adgang til kundekonti og stjæle penge ved at overføre dem til andre konti, der tilhørte medskyldige, som derefter kunne aflevere dem til bagmændene på en måde, som ikke kan spores, for eksempel ved hjælp af Western Union, siger han.
Mickey Boodaei fortæller, at hans virksomhed har sporet adskillige grupper, som har brugt Zeus til at stjæle penge fra netbanker, men han ved ikke, om lige præcis de oplysninger har været brugt i den undersøgelse, der førte til anholdelserne.
Trusteer arbejder direkte for bankerne og deler alle informationer med dem, og banken kan derefter vælge at videregive oplysningerne til politiet.
Sikkerhedsvirksomheden har fanget den malware, der er blevet brugt til forbrydelserne, og har fundet frem til de transaktioner, som programmet er designet til at gennemføre. I de fleste tilfælde er det også lykkes Trusteer at finde frem til den command and control-server, som er blevet brugt til operationen, hævder selskabet.
Zeus er tilgængelig online og indeholder værktøj, der kan bruges til at skræddersy sin malware og bygge nye versioner, som kan omgå specifikke sikkerhedskontroller og ændres i takt med, at bankerne udvikler nye måder at beskytte sig på, forklarer Mickey Boodaei.
"Der findes sandsynligvis en række forskellige kriminelle grupper, som anvender Zeus," fortsætter han. "De er uafhængige af hinanden og har hver deres konfiguration. Nogle vælger kun at fokusere på enkelte banker." Deres skræddersyede Zeus-malware er finjusteret i forhold til angreb på specifikke banker.
Når researcherne har fundet frem til en command and control-server, kan de følge transaktionerne til serverne og på den måde spore de kriminelle, forklarer Mickey Boodaei. "Det er dumt at bruge en server, der befinder sig i samme område, som den bank du vil røve," siger han.
På samme måde kan politiet spore de konti, der tilhører medskyldige - de mennesker, som modtager stjålne penge og som derefter sender dem videre til de kriminelle. Når de er fundet, kan politiet begynde at finde ud af, hvordan rekrutteringen foregår, og måske hvem der står bag, forklarer han.
Oversat af Marie Dyekjær Eriksen