CSIS: Bank-trojaneren gik efter Danmark

Det var et målrettet angreb mod allerede inficerede pc'er, der fik finansrådet og danske sikkerhedsorganisationer til at tage udsædvandlige skridt imod trojaneren Banker.hnq. Det kan ske igen, siger Peter Kruse fra CSIS.

Det var en helt speciel situation, der fik det danske sikkerhedmiljø til at gå nye veje for at imødegå truslen fra den trojaner, der i den seneste uge har truet danske netbank-brugere.

Det var en trojaner, der var skræddersyet til danske ofre, som ramte brugerne, forklarer Peter Kruse fra sikkerhedsfirmaet CSIS.

Virussens bagmænd går regionalt efter to-tre lande ad gangen. På den måde slipper de under antivirus-producenternes radar. Hverken i Sverige eller Norge har de nationale sikkerhedsmyndigheder lagt mærke til noget usædvandligt i samme periode.

»Denne bande er - for at sige det pænt - yderst raffineret.«

De kriminelle bagmænd er i stand til at ændre viruskoden "on the fly" igennem avancerede command-and-control-systemer. Der er i øjeblikket 37 varianter af trojaneren i CSIS' virusdatabase.

»Det er fremtidens virus,« lyder det alarmerende fra Peter Kruse.

Virus går under radaren

Taktikken fra de it-kriminelle er at gå efter små landeområder og benytte pc'er, som allerede er inficerede. På den måde forsøger de kriminelle at undgå opmærksomhed, for at undgå at trojaneren ender på antivirusproducenternes lister over ondsindet software.

Det danske sikkerhedsmiljø har en mistanke om, at bagmændene har købt sig til inficerede maskiner, som de dernæst har fået fuld kontrol over via et såkaldt rootkit, der overtagert hele maskinen på en måde, så det er svært at detektere, at maskinen er inficeret.

Det betyder, at antivirus-producenterne ikke opdager infektionen, da den sker lokalt, og brugerne bemærker heller ikke noget mistænkeligt.

Der er også mistanke om, at trojaneren på en eller anden måde er knyttet til det falske antivirusprogram "Antivirus 2008."

Efterforskningen forsætter

»Vi mangler at gøre efterforskningen færdig, og vi ville godt vente lidt med at hive katten ud sækken, for vi havde mere arbejde der skulle gøres, men det fik vi ikke gjort færdigt.«

De involverede sikkerhedsfolk forsøgte at "fastfryse" koden, så den ikke muterede. Det skulle give antivirus-branchen tid til at skrive de signaturfiler, der kunne identificere trojaneren.

Nu er antagelsen, at de kriminelle bagmænd har kigget med på de danske medier, og dermed kan regne ud, hvilke modforanstaltninger, der er truffet.

»Så der går nogle ting tabt, og det er vi kede af.«

Det frygtes, at en ny bølge af muterede trojanere nu kan ende på de inficerede pc'er.

»Nu vil banden gøre alt for at beholde de maskiner, der stadig er inficeret i Danmark - med alle midler.«

Forløbet har ført til en del postyr, især blandt de pc-brugere, som er blevet orienteret om, at deres maskiner har været i fare. Det giver anledning til eftertænksomhed i sikkerhedsmiljøet.

»Vi kan lære meget af det, der er sket, og vi skal helt klart tale med alle implicerede parter om, hvordan vi gør det her bedre og mere gennemsigtigt, så der ikke skabes panik.«

Nye våben er nødvendige

Men våbene er nødvendige for at imødekomme den stigende kompleksitet, som de it-kriminelle gør brug af. Det foregår inden for lovens rammer, siger Peter Kruse.

»Det skal være helt klart, at der er ikke foretaget nogen illegal overvågning eller indgreb. Der er ikke lavet noget, som er på kant med loven.«

Fremgangsmåden er tidligere benyttet i andre lande, men det har aldrig kommet frem i offentligheden, fortæller Peter Kruse. Der har været omstændigheder i Danmark, der har gjort at denne sag er blusset op. Det skulle være første gang, at fremgangsmetoden er benyttet i Danmark.

»Sagen har fået en tyngde i pressen fra starten af, og så bliver der lagt pres på alle, for at give svar på noget, som vi hellere ville have givet svar på om noget tid, og så have givet det fulde svar, og måske oven i købet havde kunne pågribe nogle af de her.«

Alligevel mener Peter Kruse, at der er tale om en succes:

»Resultatet er, at fra at have været mange tusinde inficerede maskiner, er der nu under tusind. Så kampagnen har været en succes. Men det er klart, at der er mange, der er blevet unødvendigt bekymrede, og det er ærgerligt.«

Set i det lys, var det så forkert at orientere brugerne i starten?

»Det vil jeg helst ikke gå ind i. Det er en beslutning, der blev truffet, uden at jeg har været involveret i det. Det har været en risikovurdering, som man godt kan forstå, men jeg ville ikke blande mig i den,« siger Peter Kruse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Kofoed

Gad vide, om man skal bestå en form for test, før man får genåbnet sin netbank-adgang? Skal man aflægge tro-og-love-erklæring på, at man HAR re-installeret sin maskine? Skal man vise kvittering på ét stk. anti-virus-programmel? Eller beror det simpelthen på et skøn, hvor man gætter på, at kundens maskine er ok igen, selv om zombien måske bare sover? Og hvor hurtigt kan man reagere, når den vågner igen?

Har beslutningstagerne mon tænkt det her til ende?

Det ligner mest af alt en kamp, der ikke kan vindes, med mindre man tænker ud af kassen og ryster posen - evt. med en angribers kasket på hovedet. Modellen med at hr. og fru Frikadelle nok selv kan finde ud af at patche systemer og beskytte mod kriminelle bander, har vist efterhånden spillet fallit.

  • 0
  • 0
Martin Clausen

Man kan jo ikke bebrejde bankerne for at tage visse forholdsregler og bl.a. prøve at styre deres forretning vha. diverse risikovurderinger (fx hvad sker hvis en bruger med virus bruger netbank, kommer det til at koste os penge?). Men jeg er dog ikke sikker på, at jeg synes de har håndteret denne sag specielt godt; at sige noget "slemt" er i omløb uden at uddybe problemet nærmere, er bare med til at sprede en masse FUD.

Men ang. dit spørgsmål, kunne det være interessant, hvis bankerne fx begyndte at bundle fx Secunia Online Software Inspector i deres netbank, således at brugerne kun kan logge ind, hvis deres maskiner er (fuldt) opdaterede. Jeg vil tro at de fleste godt vil kunne følge en vejledning i at slå "automatisk opdatering" til. Men så kan det jo godt være, at mange med illegale Windows kopier får fingerne i klemme.

  • 0
  • 0
Esben Madsen

Personligt tror jeg bankerne i den grad har brug for at gentænke deres sikkerhed, og en løsning jeg tror ville være optimal, er at selve netbanken køres fra et program der afvikles fra en cd eller en skrivebeskyttet usb-stick. Dette bør ske i kombination med engangskoder i form af f.eks. danske banks Activ Card.

Det program der afvikles kan passende være et helt mini-OS, f.eks. en linux eller BSD - på windows løses problemet med at køre det uden genstart så ved at benytte en eller anden virtualiseringssoftware (f.eks. wmware)

Mht genåbning af adgangen, så kræver de tydeligvis en reinstallation af windows - uanset hvilket operativsystem du så måtte køre! http://www.linuxin.dk/node/13222

  • 0
  • 0
Anonym

Lige en ting.

Der er ufaatteligt mange måder at få virus på. en af dem er via sin hoster af hjemmeside. Det har jeg prøvet, så jeg ved det - godt nok for et godt stykke tid siden.

Om det er et problem? Jeg fik som reusltat en maskine, som udsendte spandevis af spammails, IPen blokeret, installeret root-kit mv. MEN da jeg senere skrev til min hoster (UnoEuro), om de synes, det var skide smart, at statistik over besøgende (referers) automatisk fik en a href og blev gjort til links - så fik jeg en sludder for en sladder. Det kunne ikke lade sig gøre - sagde de så - at slå dette fra, uagtet, jeg faktisk i samme tidsrum have kontaktet dem, som stod bag den gratis open sourece statistik for at spørge, hvordan man satte statistikken sikkerhedsmæssigt forsvarligt.

Det viste sig bare at være et parameter, som skulle stilles. Er DET at have styr på sikkerheden?

Hvorom alting er, jeg fik en zoombie-maskine via referrer spamming, selvfølgelig fordi jeg var dum, men OGSÅ fordi min hoster for så vidt er skide lige glad med sikkerhed, når gælder deres kunder sikkerhed.... Er min hoster så ikke en potentiel risiko imod andre også? Og skulle de egentlig ikke underlægges samme kriterier, som brugerne? Dvs.

Kontrol af, at det de tilbyder er sikkerhedsmæssigt forsvarligt<

Og så en eller anden foranstatning, hvis de IKKE overholder de sikkerhedsregler...

For øvede brugere er referer spam og medfølgende virus ikke et problem. Man undgår bare at klikke på nogle som helst links, heller ikke ved et uheld, i sin statistik. Og slår JS fra. Men hvad med nybegyndere? Er jeg den eenste, som har fået virus på den måde? Og HVAD vil man gøre for, at hosterne også kigger på DERES sikkerhed?

Et ÅR efter klagen er der STADIG links i statistikken...

  • 0
  • 0
Finn Christensen

@Martin

"Modellen med at hr. og fru Frikadelle nok selv kan finde ud af at patche systemer og beskytte mod kriminelle bander, har vist efterhånden spillet fallit."

Hr. og Fru. Frikadelle bruger (efter utallige opfordringer) tid og penge på 'antivirus xyz', men aner i øvrigt intet om hvorfor de får snavs ind på dyret.

Uden at forstå 'hvorfor' kan de jo ikke handle hensigtsmæssigt 'hvordan' og 'hvornår'. Så vi fortsætter med at lade intetanende mennesker drøne rundt på internettets motorveje helt uden kørekort (nej ikke det ligegyldige PC-kørekort).

Der skal meget mere til end de her 8-10.000 ramte før jura- og politfolket vækkes af slummeren... meget mere.

  • 0
  • 0
Finn Christensen

"Det her får mig til at tænke på..... http://www.version2.dk/artikel/7051...

Man kunne frygte at bankerne ville gå ind for sådan et tiltag.."

Tror jeg ikke er tilfældet Rasmus: 1) bankerne har mere alvorlige ting at tage sig til 2) har jo ikke stor troværdighed hos kunderne 3) har ingen behov for at kunderne bliver 'trætte' af dem

De er bedst tjent med at holde meget lav cigarføring i nogle år ;-) Krisen og problemerne er først lige begyndt.

  • 0
  • 0
Anonym

Jeg synes lige jeg vil uddybe mekanikken bag den referrer spam, Rune omtaler.

Konceptet går ud på, at man starter med at lave en placeholder, som er det jeg kalder endpoint.

Dette endpoint indeholder så falske virusscannere, download af video codec's, opdatering af flash eller lign.

På nogle mellemlag lægger man nogle mere eller mindre obfuskerede Javascripts, som alene har til formål at redirigere, så man mister sporet.

Til sidst laver man et 'starting point', der typisk er en eller

<

iframe> injection på en tilsyneladende legitim side.

Hvis brugeren besøger den legitime side, vil han automatisk blive omstillet blandt de forskellige layers.

Udbredelse af 'starting point' sker så som links i mals, blog spam, eller lign.

Men der er også bot'er, der bare laver almindelige GET's med den tilsyneladende legitime side som referrer.

Det der sker i statistikken som Rune omtaler er, at den mindre kyndige vil tænke: Hov, jeg har sørme fået besøg af en fra Italien, spændende, det må jeg se.

Et klik på linket, og rouletten kører.

Jeg har sidste år taget et aktuelt tilfælde, netop med referrer spam som 'starting point', og ændret url'erne, så de bliver inden for 'rammerne'

Men alt andet end url'erne, og endpointet (.exe filen) er autentiske.

Interesserede kan granske 'systemet' her: http://w-o-p-r.dk/xoomer/scanner.playback/xoomer.scanner.asp

Og se hvad brugeren vil opleve, hvis man havde klikket på linket.

Det aktuelle endpoint i dette tilfælde var en afart af de der 'Antivirus 2008' - ting.

  • 0
  • 0
Jens Madsen

Hvorfor ikke forbyde operativsystemer som Windows, før der sker en stor katastrofe?

Indtil nu, har vi set store udgifter på grund af Windows, og dets mange "sikkerhedshuller", eller hvad vi nu skal kalde disse. Vi har set store strømafbrydelser, der skyldes Windows. Og der kommer sikkert langt mere til - indtil windows forbydes.

Vi kan nemt lave love, der forklarer hvordan operativsystemer skal fungere, og lovgive om, at de skal isolere programmer, og hvordan, således de umuligt får virus. Vi kan lave love, og standarder, der sikrer koden er uden fejl - og kræve, at operativsystemer følger disse standarder for kodeudvikling. Vi kan lave love, der forbyder operativsystemer, som kan få virus. Og datalogerne, kan lære hvordan der bevises, om et operativsystem kan få virus, og hvorfor at loven sikrer, at det er umuligt.

Det er ikke et problem, at undgå virus. Men det kræver, at softwarebranchen ikke får lov at diktere lovene selv, som nu. Ingen andre brancher, har haft så frie hænder, til at diktere lovene. Softwarebranchen, har endog dikteret lovene, omkring "kundernes rettigheder", således at det hurtigt vendes til at være softwarebranchens rettigheder, på bedste nisseø farce manér. Det er nødvendigt, at lovene dikteres af nogen som kan noget - og ikke erhvervslivet. Erhvervslivet, er ikke dygtige nok. De skal have retningslinier for at fungere. Ellers, kan de hverken producere noget som er sikkert, eller som fungere. Det har de for længst vist. Og de dur ikke, til at udvikle love.

  • 0
  • 0
Anonym

Det er jo ikke særligt realistisk.

Windows ligger i en hel del maskiner, og det er en del af udviklingen på den måde, hvad enten man vil det eller ej. At lukke det ned vil koste penge, og det vil slet ikke kunne betale sig i forhold til udbyttet.

At rette et parameter i en statistik - eller, det næstbedste, tydeligt at gøre opmærksom på, at links i statistikken ikke er sikre, det koster altså ikke en bondegård, og det skal kun gøres én gang.

Hvad jeg undrer mig over er, dels, at man ikke fokuserer på, hvor der også kan komme virus, man kigger nemlig meget på selve brugerens computer, men også at dem, som faktisk giver en mulighed for at brugerne kan få installeret disse vira, de faktisk ikke tager det særligt seriøst. Det er i mine øjne et problem, og her burde der sættes ind med lovgivning (når nu hosterne ikke selv vil).

Brugerne har selvfølgelig det endelige ansvar i den henseende, ingen tvivl om det, men hvorfor dog hjælpe virusproducenterne overfor nybegyndere udi webdesign?

  • 0
  • 0
Log ind eller Opret konto for at kommentere