11 juli 2014 10:28

Europol dient trojan die bankgegevens steelt klappen toe

Een samenwerkingsverbond tussen Europol en meerdere landen heeft het hart van de Shylock-infrastructuur uit de lucht gehaald. Een overwinning voor de cybereenheden.

Een verbond van politie, justitie en de industrie heeft op 8 en 9 juli maatregelen getroffen tegen internetdomeinen en -servers die het hart vormen van een geavanceerde infrastructuur voor cybercriminelen die over de hele wereld banken aanvallen met de Shylock Trojan.

De agentschappen ondernamen actie tegen het systeem waar Shylock van afhankelijk is om effectief te opereren. Dit betekende het in beslag nemen van servers die het opdracht- en beheersysteem vormen voor de trojan. Net zoals het neerhalen van domeinen die Shylock gebruikte voor de communicatie tussen geïnfecteerde computers.

[related_article id=”161920″]

Coördinatie
De operatie, gecoördineerd door het Britse National Crime Agency (NCA), bracht partners van politie, justitie en uit de privésector bij elkaar. Onder meer Europol, de FBI, BAE Systems Applied Intelligence, Dell SecureWorks, Kaspersky Lab en het Britse GCHQ maken onderdeel uit van het verbond.

Het onderzoek werd geleid vanuit het operationele centrum van de European Cybercrime Center (EC3) bij Europol in Den Haag. Rechercheurs van het NCA, de FBI, Nederland, Italië en Turkije verzamelden zich om de actie te coördineren in hun eigen land. Dit ging in overleg met Duitsland, Frankrijk en Polen.

Weghalen servers
De coördinatie via Europol was bevorderlijk voor het weghalen van de servers die het hart vormen van botnets, malware en Shylock-infrastructuur. Het team van CERT-EU nam deel in de operatie en gaf de informatie van kwaadaardige domeinen door aan belanghebbenden.

Tijdens de operatie werden meerdere nog onbekende onderdelen van de infrastructuur ontdekt, waardoor ook daar direct actie op ondernomen kon worden vanuit het operationele centrum in Den Haag.

Merchant of Venice
Shylock – dat vernoemd is naar de hoofdpersoon van Shakespeares The Merchant of Venice omdat de code citaten uit het stuk bevat – wist wereldwijd minstens dertigduizend Windows-systemen te infecteren. Informatie suggereert dat het Verenigd Koninkrijk het grootste slachtoffer is. Desondanks zijn de Verenigde Staten, Italië en Turkije ook zeker aangevallen door de kwaadaardige software. Het vermoeden bestaat dat de daders zichzelf in een ander land ophouden.

De meeste slachtoffers zijn geïnfecteerd geraakt door het klikken op een verkeerde link in een e-mailbericht om vervolgens verleid te worden iets te downloaden en activeren op de pc. Shylock zoekt dan toegang tot je saldo op persoonlijke en zakelijke bankrekeningen. Deze probeert de software over te maken naar de rekening van de hackers.

Goede samenwerking
“Het Europese Cybercrime Centre is zeer content over deze operatie tegen de zeer geraffineerde malware”, zegt Troels Oerting, hoofd van EC3 bij Europol. “We speelden een cruciale rol in het werk dat nodig was om de criminele infrastructuur neer te halen. EC3 voorzag in een uniek platform, state-of-the-art apparatuur en beveiligde communicatie, maar ook in cyberanalisten en -experts.”

“Op deze manier zijn we in staat cyberrechercheurs te ondersteunen, gecoördineerd door het NCA. We werken fysiek samen met de FBI en collega"s uit Italië, Turkije en Nederland, met een virtuele link naar cybereenheden in Duitsland, Frankrijk en Polen.”

“De internationale samenwerking tussen politie en justitie uit vele landen verliep erg prettig. We hebben getoond dat we snel en daadkrachtig kunnen reageren op digitale bedreigingen binnen en buiten de Europese Unie. Dit is wederom een stap in de goede richting. Speciale dank gaat uit naar Kaspersky Lab die een significante rol speelde in de succesvol uitkomst van deze operatie.”