Η Kaspersky Lab συμβάλλει στην κοινή προσπάθεια των διωκτικών αρχών και της αγοράς για τη λήψη μέτρων ενάντια σε διαδικτυακά domains και servers που αποτελούν τον πυρήνα μιας προηγμένης υποδομής ψηφιακού εγκλήματος, η οποία επιτίθεται σε online τραπεζικά συστήματα παγκοσμίως με τη χρήση του Trojan προγράμματος Shylock.
Στις 8 και 9 Ιουλίου 2014, οι διωκτικές αρχές ανέλαβαν δράση για να διακόψουν το σύστημα στο οποίο βασίζεται το Shylock για να λειτουργεί αποτελεσματικά. Οι ενέργειες περιλάμβαναν την παύση λειτουργίας των servers που αποτελούν το “Command & Control” σύστημα του Trojan, καθώς και την ανάληψη του ελέγχου των domains που χρησιμοποιεί το Shylock για την επικοινωνία μεταξύ των υπολογιστών που έχει προσβάλλει.
Για την επιχείρηση, η οποία συντονίζεται από την Εθνική Υπηρεσία Δίωξης Εγκλήματος του Ηνωμένου Βασιλείου (NCA), συνεργάζονται φορείς από διωκτικές αρχές και από τον ιδιωτικό τομέα. Εκτός από την Kaspersky Lab, στην επιχείρηση συμμετέχουν η Europol, το FBI, η BAE Systems Applied Intelligence, η Dell SecureWorks και η Κεντρική Υπηρεσία Επικοινωνιών του Ηνωμένου Βασιλείου, με κοινό σκοπό την αντιμετώπιση της απειλής.
Το Ευρωπαϊκό Κέντρο Ηλεκτρονικού Εγκλήματος της Europol (EC3), με έδρα τη Χάγη, ανέλαβε τη διενέργεια ερευνητικών δράσεων. Ερευνητές από το Ηνωμένο Βασίλειο (NCA), τις ΗΠΑ (FBI), την Ιταλία, την Ολλανδία και την Τουρκία ένωσαν τις δυνάμεις τους και συντόνισαν την επιχείρηση σε τοπικό επίπεδο, σε συνεννόηση με αντίστοιχους φορείς στη Γερμανία, τη Γαλλία και την Πολωνία. Ο συντονισμός μέσω της Europol συνέβαλε καταλυτικά στην παύση λειτουργίας των servers που αποτελούν τον πυρήνα των botnets, του malware και της υποδομής του Shylock. Η ομάδα CERT-ΕU (ΕU Computer Emergency ResponseTeam) συμμετείχε στην επιχείρηση και ενημέρωσε τους συνεργάτες της σχετικά με τα κακόβουλα domains.
Κατά τη διάρκεια της συντονισμένης δράσης αποκαλύφθηκαν πολλές πτυχές της υποδομής που ήταν άγνωστες μέχρι πρότινος. Αυτές οι αποκαλύψεις επέτρεψαν την άμεση ανάληψη δράσεων, οι οποίες συντονίζονταν από το επιχειρησιακό κέντρο στη Χάγη.
Το κακόβουλο λογισμικό Shylock, το οποίο πήρε αυτή την ονομασία επειδή ο κώδικας του περιέχει αποσπάσματα από το έργο του Σαίξπηρ «Ο Έμπορος της Βενετίας», έχει προσβάλλει τουλάχιστον 30.000 υπολογιστές με λειτουργικό Microsoft Windows παγκοσμίως. Σύμφωνα με την έρευνα, το Shylock στρέφεται εναντίον στόχων κυρίως από το Ηνωμένο Βασίλειο. Ωστόσο, συστήματα από τις ΗΠΑ, την Ιταλία και την Τουρκία βρίσκονται επίσης στο στόχαστρο του κακόβουλου κώδικα. Υπάρχουν, όμως, υποψίες ότι η έδρα αυτών που ανέπτυξαν το malware βρίσκεται σε άλλη τοποθεσία.
Τα θύματα συνήθως «μολύνονται» όταν επιλέγουν κακόβουλα links και στη συνέχεια πείθονται να «κατεβάσουν» και να εκτελέσουν το κακόβουλο λογισμικό εν αγνοία τους. Τότε, το Shylock επιδιώκει να αποκτήσει πρόσβαση σε κεφάλαια που βρίσκονται σε εταιρικούς ή προσωπικούς τραπεζικούς λογαριασμούς, ώστε να τα μεταφέρει στους εγκληματίες που ελέγχουν τη δράση του.
Ο Troels Oerting, επικεφαλής του EC3 της Europol, σχολίασε: «Το Ευρωπαϊκό Κέντρο Ηλεκτρονικού Εγκλήματος (EC3) είναι πολύ ικανοποιημένο από την έκβαση της επιχείρησης εναντίον αυτού του προηγμένου κακόβουλου λογισμικού, καθώς διαδραμάτισε έναν ιδιαίτερα σημαντικό ρόλο στην προσπάθεια για την καταπολέμηση της εγκληματικής υποδομής. Το EC3 παρείχε μια μοναδική πλατφόρμα και επιχειρησιακούς χώρους εξοπλισμένους με υπερσύγχρονη τεχνική υποδομή και ασφαλή μέσα επικοινωνίας, καθώς και αναλυτές και ειδικούς του κυβερνοχώρου. Με αυτόν τον τρόπο μπορέσαμε να υποστηρίξουμε τους ψηφιακούς ερευνητές που βρέθηκαν στην πρώτη γραμμή, με το συντονισμό της Βρετανικής NCA και τη συνεργασία με το FBI και συναδέλφων από την Ιταλία, την Τουρκία και την Ολλανδία. Παράλληλα, μέσα από εικονικούς συνδέσμους, οι ερευνητές μπόρεσαν να συνεργαστούν με αντίστοιχες μονάδες στη Γερμανία, τη Γαλλία και την Πολωνία».
Και συμπλήρωσε: «Με μεγάλη χαρά είδα τη διεθνή συνεργασία μεταξύ διωκτικών και εισαγγελικών αρχών από πολλές χώρες. Για μια ακόμη φορά, μπορέσαμε να δοκιμάσουμε τις βελτιωμένες δυνατότητες μας ως προς την άμεση αντίδραση εναντίον ψηφιακών απειλών εντός ή εκτός της Ευρωπαϊκής Ένωσης. Πρόκειται για ένα ακόμη βήμα προς τη σωστή κατεύθυνση για τις διωκτικές και τις εισαγγελικές αρχές της Ε.Ε. Ευχαριστώ όσους συμμετείχαν στην επιχείρηση για την τεράστια αφοσίωσή τους. Ευχαριστώ ιδιαιτέρως την Kaspersky Lab, η οποία συνέβαλε σημαντικά στην επιτυχημένη έκβαση της επιχείρησης. Η συνεργασία μας με την εταιρεία συνεχίζει να επεκτείνεται τόσο σε αυτή την περίπτωση, όσο και σε άλλες μελλοντικές υποθέσεις».
Ο Andy Archibald, Αναπληρωτής Διευθυντής της Μονάδας Δίωξης Ηλεκτρονικού Εγκλήματος της Υπηρεσίας Δίωξης Εγκλημάτων (NCA) του Ηνωμένου Βασιλείου, πρόσθεσε: «Η NCA αναλαμβάνει πρωταγωνιστικό ρόλο στην καταπολέμηση μιας ψηφιακής απειλής για επιχειρήσεις και χρήστες ανά τον κόσμο. Αυτή η φάση της επιχείρησης έχει ως στόχο να επηρεάσει σημαντικά την υποδομή του Shylock. Επίσης, η επιχείρηση αναδεικνύει το πώς χρησιμοποιούμε τις διατομεακές και διακρατικές συνεργασίες για να πατάξουμε το ψηφιακό έγκλημα».
Ο Sergey Golovanov, Principal Security Researcher στην Kaspersky Lab, η οποία παρείχε υπηρεσίες πληροφόρησης σχετικά με τις απειλές και παρακολουθούσε τη δραστηριότητα του malware στο πλαίσιο της παγκόσμιας επιχείρησης, σχολίασε: «Οι εκστρατείες τραπεζικής απάτης δεν αποτελούν πλέον μεμονωμένο φαινόμενο, καθώς έχουμε παρατηρήσει σημαντική αύξηση σε αυτού του είδους τις κακόβουλες επιθέσεις. Μόνο το 2013, οι ψηφιακές επιθέσεις με malware σχεδιασμένο για να υποκλέπτει οικονομικά στοιχεία αυξήθηκαν κατά 27,6%, φτάνοντας τα 28,4 εκατομμύρια. Για να καταπολεμήσουμε το ψηφιακό έγκλημα, παρέχουμε πληροφόρηση σχετικά με τις απειλές σε υπηρεσίες δίωξης εγκλήματος σε όλο τον κόσμο και συνεργαζόμαστε με διεθνείς οργανισμούς, όπως η Europol. Η παγκόσμια δράση και η συνεργασία φέρνει θετικά αποτελέσματα και η επιχείρηση ενάντια στο Shylock είναι ένα ακόμα παράδειγμα γι’ αυτό».
Όσοι χρήστες επιλέγουν αυτοματοποιημένες ενημερώσεις του λειτουργικού τους συστήματος – οι οποίες μπορούν να διασφαλίσουν ότι οι υπολογιστές που έχουν «μολυνθεί» με κακόβουλο λογισμικό, όπως το Shylock, «καθαρίζονται» αυτόματα μετά από την επανεκκίνηση του συστήματος – δεν χρειάζεται να προβούν σε καμία ενέργεια αυτή τη στιγμή. Όσοι δεν επιλέγουν τις αυτόματες ενημερώσεις ή όσοι θα ήθελαν να μάθουν περισσότερα για το πώς να κάνουν έλεγχο στους Windows υπολογιστές τους και να αφαιρούν του ιούς από τα συστήματα τους, μπορούν να επισκεφτούν την ηλεκτρονική διεύθυνση http://support.microsoft.com/gp/cu_sc_virsec_master.
Συμβουλές για τη διαδικτυακή σας ασφάλεια είναι διαθέσιμες στις ιστοσελίδες Cyber Streetwise και Get Safe Online.