... men Zeus var ikke død

... men Zeus var ikke død

Beryktet trojaner har inntatt ny skikkelse og ny forretningsmodell. Se opp for Zeus 2+.

LONDON: Det skjedde noe mystisk i nettets mørke underverden i oktober 2010. Skaperen av botnettet Spyeye meldte at skaperen av Zeus, kalt Slavik, ikke lenger vil støtte Zeus. Og at Spyeye-skaperen i praksis fra den dagen eide Zeus.

Her hører det hjemme en kort bakgrunn for de uinnvidde, resten kan hoppe til neste mellomtittel:

Zeus og Spyeye er trojanere, som kjipe personer med behov for kjappe penger kan kjøpe. Litt som Word og Excel, bare at det er et kitt, en slags pakke. De selges som et program som fungerer som en veiviser. Du klikker av på valgene du ønsker, og programmene skreddersyr en trojaner for deg. Du sprer trojaneren, og tjener penger på intetanende ofre.

De to "konkurrentene" har operert på lignende måte som legitime programvareselskaper. Programvaren er godt dokumentert. Får du trøbbel, kan du til og med få brukerstøtte.

De har vært i tottene på hverandre i lengre tid. Zeus har vært størst, og fem millioner pc-er er fortsatt infisert av denne. Spyeye har svart ved å legge inn et fiffig valg du kan huke av på i veiviseren som genererer selve trojaneren: Spyeye har kommet med en funksjon som sjekker om maskinen har Zeus, og så avinstallerer den.

Mystisk

Men Slavik, mannen bak Zeus trakk seg plutselig tilbake. Han ville tilsynelatende ikke ha noe med Zeus å gjøre. Ikke selge det, ikke støtte det. Til tross for at Zeus absolutt var mest populær. Litt som om Microsoft plutselig skulle bestemt seg for å ikke lenger lage Windows lengre.

I stedet hadde Spyeye-bakmannen overtatt hele kildekoden.

Sikkerhetsforskerne var forbløffet. De begynte å spekulere. Er dette en fiendtlig overtakelse? Eller en avtalt fusjon? Det de visste var at etterspørselen etter Zeus hadde vokst og vokst helt til september. Tilbudet hadde sunket tilsvarende.

Spyeye-bakmannen kom senere med litt mer informasjon. Han ville kombinere de kuleste funksjonene fra begge trojanerne og lage en ny hybrid.

Zeus+ dukker opp

Forskerne kunne ikke skjønne hvorfor Slavik hadde gått under jorden. Men så fant forskere i RSA plutselig en Zeus-variant de aldri hadde sett før, som de har valgt å kalle Zeus+.

Og her var mye annerledes. Mens Zeus 2 hadde støtte for automatisert tapping av bankkonto, hadde ikke Zeus 2+ det. Den har bare støtte for manuell tapping. Med andre ord er de som benytter seg av Zeus 2+ avhengig av å ha en person på jobb 24/7 som overvåker når infiserte logger seg på nettbanken. Og så stjele ønsket antall penger helt manuelt.

Dropzone-opplegget, altså hvor data tappet fra offeret lagres, hadde gått gjennom en enorm forvandling. Fra å være én konfigurerbar dropzone som Zeus 2-bestillerene selv la inn, ligger det i Zeus 2+ en mer dynamisk løsning der 1000 nye domenenavn, generert etter en slags algoritme, skapes daglig. Selve trojaneren er i Zeus 2+ konfigurert til å starte på første, og så gå til neste om ikke den fungerer, neste om ikke den fungerer, også videre.

Kalkulering av dropzoner var noe helt nytt.

- Det er veldig vanskelig å si hvordan de kalkulerer frem disse domenenavnene. De ser ut som søppel, de ser ut som en slags kryptoalgoritme, sier Uri Rivner fra RSA.

Fra B2C til B2B?

For forskerne ble det klart at lenge før Zeus 2 endte i hendene til Spyeye-bakmannen satt det folk og jobbet med Zeus 2+, en mye mer avansert og veldig annerledes utgave. En annen vesentlig forskjell er at Zeus 2+ ikke kommer med noen som helst form for kundestøtte og dokumentasjon som Zeus 2 gjorde.

Det virker rett og slett som at den ikke er til salgs.

Tall fra RSA viser at 200.000 pc-er i dag er infisert av Zeus 2+, de fleste i USA.

Og når man ser på hvem som har tilgang til Zeus 2+, ser man Slavik blant navnene.

Tilfeldig? Kanskje. Men dette er forskernes teori: Slavik bestemte seg for å bytte forretningsstrategi.

I stedet for å drive B2C, altså forretning mot sluttkunder, gikk han mot B2B i stedet, mot forretningsverden. Han har potensielt alliert seg med en kriminell gruppe for å lage den beste trojaneroperasjonen kjent dags dato.

Der videreutviklingen av trojaneren er lukket. Der trojaneren ikke er ”mainstream”, og dermed kanskje går under radar. Der infeksjonsraten som resultat er lavere, men fortjenesten kanskje er høyere. Der det sitter skurker 24/7 og overvåker hvem av de infiserte som logger inn.

Der de samme skurkene stjeler en pengesum de føler er fornuftig for ikke å bli oppdaget, med sine egne hender fremfor automatisert. Der dropzonen kalkuleres og vokser med 1000 hver dag.

Kampen fortsetter

Kampen mellom skurk og helt fortsetter. Ifølge Rivner har finansindustrien blitt bedre på å håndtere slike trusler.

- Det er på tide å se tilbake og si at bankindustrien har tatt riktige valg, sier han, og fremhever blant annet godt samarbeid med politiet og opprettelse av e-krimteam hos bankene.

- Det har vært mange arrestasjoner der svindlere har blitt stilt for retten.

Han mener også det er positivt at finansindustrien, i motsetning til de fleste andre, faktisk deler informasjon seg i mellom.

Hovedproblemet er likevel fortsatt sluttbrukeren.

- Mennesker kan ikke bli lappet, påpeker Rivner.

Les om: