Da li su ruske vlasti zaustavile širenje bankarskog trojanca Dyre?

Sajber hronika, 11.02.2016, 01:00 AM

Bankarski trojanac Dyre, poznat i pod nazivom Dyreza, jedan od najraširenijih i najefikasnijih finansijskih malvera koji su se pojavili prethodnih nekoliko godina, u ovom trenutku nije aktivna pretnja. Spam kampanje pomoću kojih se trojanac Dyreza širio zaustavljene su 18. novembra i od tada i od tada više nisu nastavljane.

Taj iznenadni pad primetile su mnoge kompanije koje se bave informatičkom bezbednošću, ali tek sada postaje jasno šta je verovatni razlog za to.

Nekoliko izvora reklo je Rojtersu, iako još uvek nema zvanične potvrde, da su novembra prošle godine ruske vlasti upale u kancelarije moskovske firme “25. sprat” koja se bavi filmskom produkcijom i distribucijom filmova i da je to bio deo akcije protiv jedne od najozloglašenijih finansijskih hakerskih operacija u svetu, operacije u čijem je serdištu bio bankarski trojanac Dyre. Stručnjaci veruju da je ovaj maliciozni softver odgovoran za gubitke u iznosu od više desetina miliona dolara koje su pretrpele finansijske institucije među kojima su Bank of America Corp i JPMorgan Chase & Co.

Portparol ruskog ministarstva unutrašnjih poslova je rekao da njegovo ministarstvo nije uključeno u ovaj slučaj, dok je ruska obaveštajna služba FSB odbila da da komentar.

Prema pisanju Rojtersa, i Nikolaj Volčkov, izvršni direktor filmske kompanije “25. sprat” nije želeo da komenatriše vest o upadu policije u kancelarije njegove firme.

Bez zvanične potvrde mnogo toga ostaje nepoznanica jer u ovom trenutku nije moguće naći jasnu vezu između onoga što se desilo sa trojancem i upada ruske policije u prostorije pomenute kompanije.

Izvori Rojtersa navode da su ruske vlasti obavile razgovor sa velikim brojem ljudi, ali u ovom trenutku nije poznato da su nekog uhapsile ili podigle optužnicu.

Hakeri koji napadaju banke, poslovne i privatne korisnike u zapadnim zemljama u Rursiji se retko kažnjavaju. Zato je ovaj slučaj veoma neobičan i značajan.

Zanimljivo je da je kompanija “25. sprat” u novembru prošle godine, kada je policija upala u prostorije firme, bila jedan od producenata trilera “Botnet” koji govori o sajber kriminalu i čija je radnja bazirana na stvarnom događaju iz 2010. kada je 37 ljudi iz SAD i drugih zemalja optuženo za prevare i krađu 3 miliona dolara. Mediji su pomno pratili ovaj slučaj koji su tužioci nazvali velikom pobedom nad organizovanim sajber kriminalom. Jedan od razloga velikog interesovanja medija bila je i optužena Kristina Svečinskaja, koju je britanski San proglasio “najseksipilnijom hakerkom u svetu”.

Ipak, većina optuženih bili su niže rangirani u ovoj kriminaloj šemi a ključni igrači nikada nisu imenovani, a kamoli uhapšeni. Hakeri su koristili poznati bankarski malver Zeus, za koji se tvrdi da je povezan sa malverom Dyre.

Zanimljiv je i detalj da je firma “25. sprat” angažovala moskovsku firmu Group-IB koja se bavi informatičkom bezbednošću da bi posavetovala reditelja i scenariste filma “Botnet” u vezi tehničkih detalja.

Trojanac Dyre se inače prvi put pojavio sredinom 2014. i brzo postao jedan od najraširenijih bankarskih trojanaca u svetu. U jednom trenutku Dyre je nadmašio čak i ozloglašenog trojanca Zeus. Autori malvera Dyre išli su u korak sa tehnološkim napretkom, i stalno povećavali broj banaka čije je kupce ciljao malver.

Malver je zaobilazio korisnike banaka u Rusiji i zemljama bivšeg SSSR-a, što je pokazatelj da su kriminalci koji stoje iza malvera verovatno Rusi. Dobro je poznato da ruske vlasti ignorišu delovanja grupa sajber kriminalaca iz Rusije sve dok žrtve nisu građani ove zemlje. Zbog toga je ovaj slučaj, pod uslovom da je vest tačna, jedan od retkih presedana.

Ruskim vlastima u ovoj akciji navodno je pomoć pružila kompanija Kaspersky Lab koja još uvek nije komentarisala izveštaj Rojtersa.

Komentarišući ova nagađanja, Dik O'Brajen iz Symanteca kaže da kriminalne grupe vrlo brzo mogu da obnove svoje poslovanje ako policija ne uhapsi ključne ličnosti i zapleni glavnu infrastrukturu. On navodi primer policijske akcije protiv malvera Dridex, oktobra prošle godine, koja je imala veoma ograničen uticaj. Tada je optužena jedna osoba a policija je uspela da stavi pod kontrolu na hiljade kompromiotvanih računara. Ipak to je bilo nedovoljno da bi stopa infekcije malvera Dridex počela da jenjava.

Rani znaci da je operacija protiv malvera Dyre bila prilično uspešna je to što nema znakova da grupa ponovo pokušava da pokrene svoje poslovanje. Da li će pretnja u potpunosti nestati biće jasno u narednim mesecima.

Međutim, treba imati na umu da je izvorni kod malvera Dyre procureo i da bi ga drugi sajber kriminalci mogli iskoristiti.

Pored toga, ruski proizvođač antivirusa, kompanija Doctor Web je saopštila da Dyre još uvek predstavlja pretnu jer su neki od njegovih servera i dalje aktivni.