מפתח נוזקה לעולם הבנקאות נאסר לתשע שנים וחצי

אלכסנדר פאנין, מפתח SpyEye, נוזקת ריגול בעולם הבנקאות, נידון לתשע וחצי שנים בכלא פדרלי בארצות הברית.

פאנין, רוסי בן 27, הואשם בקשירת קשר ליצירת ולהפצת SpyEye. הוא נעצר בשנת 2013, ובתחילת 2014 הודה באשמה. חאמזה בנדלאג', שותפו לפיתוח והפצת הנוזקה, נידון ל-15 שנות מאסר קודם לכן.

פאנין נעצר הודות לשיתוף פעולה בין ה-FBI וטרנד מיקרו (Trend Micro) וגופי אכיפה נוספים. חוקרי ענקית האבטחה מסרו פרטים שסייעו במעצרו: "Handles" באינטרנט וחשבונות שהיו בשימוש. השניים השתמשו בכינויים ברשת, והנתונים שנמסרו סייעו למצוא את זהותם האמיתית של פאנין ושותפו.

"רוצח זאוס"

SpyEye התפרסמה בראשונה בשם "רוצח זאוס." היא נודעה כרוגלה שיכולה להכניע את ZeuS /ZBot בקרב ביניהם. הנוזקה הייתה בעלת יכולת לגנוב מידע ממשתמשי אתרי בנקאות ופיננסים. כמו כן, היו לה יכולות rootkit, המאפשרות להסתיר תהליכים וקבצים מקורבנותיה.

מאז ששוחררה, הנוזקה הופיעה בכמה גרסאות שפעלו בעולם הפיננסי. התפתחות גדולה אחת התרחשה כאשר יוצר זאוס המקורי, המכונה "סלביק" או "Monstr," עזב את עולם הפשע המקוון ומסר את קודי המקור של  זאוס לפאנין, שהשתמש ברשת בכינויים "Gribodemon" או "Harderman".

עוד בטרם אותר פאנין, חוקרי טרנד מיקרו היו מעורבים בחקירת SpyEye. בשנת 2011, חשפה החברה את ממצאי חקירתה: פושע סייבר בשם Solier השתמש ב-SpyEye כדי לגנוב יותר מ-3.2 מיליון דולר – בתוך שישה חודשים. התקפה זו התמקדה בעיקר במשתמשים אמריקנים וחלק גדול מהנפגעים היו ארגונים גדולים ומוסדות ממשלתיים וצבאיים בארצות הברית.

מעצרו והעמדתו לדין של פאנין הם התוצאה הסופית של חקירה שעקבה אחר תנועותיו והתנועות של שותפו ופיקחה על תנועותיהם של פאנין ושותפו, בנדלאג', המכונה "Bx1". חוקרי טרנד מיקרו הסתננו לפורומי מחתרת שונים בהם השניים ביקרו – וחשפו דרך מעקב אחר ההודעות שלהם מידע, כמו כתובת הדואר האלקטרוני שלהם, או מספר ICQ – שסייע לחשוף את הזהויות האמיתיות שלהם.

יש לעצור את המפגעים עצמם

בנדלאג' נעצר בינואר 2013 בנמל התעופה בבנגקוק בזמן שהיה בדרכו ממלזיה למצרים, והוסגר בחודש מאי באותה שנה. פאנין נעצר ביולי 2013 בנמל התעופה באטלנטה. בנדלאג' הפך לגיבור פולחן בקהילת ההאקרים דוברי הערבית. זמן קצר לאחר מעצרו, הוא גנב מאות מיליוני דולרים – ותרם את הכסף הזה לצדקה פלסטינית.

בחודש מאי 2014, פושע סייבר בריטי בשם ג'יימס בייליס נעצר. בייליס עבד בשיתוף פעולה הדוק עם פאנין בקידוד של תוסף ccgrabber עבור SpyEye. תוסף זה שימש לאיסוף מספרי CVV ומספרי כרטיסי אשראי, על ידי ניתוח בקשות POST שביצעה מכונה נגועה בנוזקת הריגול. מעצר זה נעשה בשיתוף פעולה עם רשויות אכיפת החוק בבריטניה.

תמיר סגל, מנהל פעילות טרנד מיקרו בישראל, אמר לאנשים ומחשבים כי "המעצרים הללו קרו הודות לעבודה מאומצת ושיתוף פעולה של החברה עם גורמי אכיפת החוק השונים. שותפות זו קריטית על מנת להפחית את פשעי הסייבר, שכן עובד יחיד אינו יכול להגן על משתמשים ולעצור פשעי אינטרנט – אלא רק מאמץ משותף של קבוצה".

לדברי סגל, "השותפות מועילה לשני הצדדים: קהילת אבטחת המידע יכולה לספק את הידע הטכני והמיומנויות – שחסרים לרשויות אכיפת החוק, בעוד רשויות אכיפת החוק יכולות לעזור לוודא כי פושעי הסייבר ימצאו עצמם מאחורי סורג ובריח. אם תפיל את התשתיות והשרתים – תציע פתרון לטווח קצר לבעיית פשעי הסייבר; כדי להתייחס לפשעי הסייבר באמת, יש לעצור את המפגעים עצמם".