為什麼 FBI 將 SpyEye 定罪是件大事?

 

「在刑事司法制度裡,有兩群獨立但同樣重要的人:調查犯罪的警察和起訴罪犯的地方檢察官。這些是他們的故事。」 – 法律與秩序(Law & Order)

 

近日聯邦調查局(FBI)在喬治亞州的亞特蘭大市宣布Aleksandr Andreevich Panin(俄國人,也被稱為「Gribodemon」或「Harderman」)在進入法院審判前,對其建立和散播SpyEye惡意軟體家族的控訴認罪。趨勢科技也參與協助 FBI 成功起訴 SpyEye惡意軟體作者 。

2020

雖然對我們這產業來說,網路犯罪活動被定罪的消息還不夠多。但對人們來說的確是每隔一段時間就會出現,讓人們忽視這些新聞,不會去了解它們的重要性。但其實不知道將SpyEye定罪有多重要是件非常危險的事。這次定罪在許多層面上都是對抗網路犯罪份子的顯著勝利。首先,它剷平整個生態鍊和該負責的人,不只是對付犯罪集團裡跑腿的小兵,而是它的創辦人和執行長。其次,它大大地打擊了這自2009年開始就非常成功的惡意軟體家族(它成功到在2010年10月/11月合併和吸收了它的主要競爭對手 – ZeuS)。最後,它顯示出公家單位和私人機構如何一起合作以達到最圓滿的結局,正義的行動可以迅速且果斷。

 惡意軟體和犯罪工具給人的舊印象是一兩個人在自己的地下室裡搞出來的。但就像微軟從Windows 3.1成長到現在的Windows 8一樣。這些年來合法軟體的進步和成熟發展也相對應地發生在惡意軟體和犯罪工具上。今日的惡意軟體威脅不只是一個會毀掉你一天的開機型病毒:它們是複雜且多層次的解決方案,需要高深的規劃和開發。而且它們越來越懂得回應客戶的需求。外掛程式,功能需求甚至技術支援都一應俱全。

在這樣的背景下,SpyEye是地下市場裡最專業、最先進的產品。自從它在2009年出現,SpyEye就是最專業、最成功的惡意軟體家族之一。它提供定期的版本更新,甚至還有測試版。考慮到這一些,美國聯邦調查局對Panin在這些活動裡所扮演的角色說明會帶給人更貼切的感覺:「Panin是SpyEye病毒的主要開發者和經銷商,」換句話說,Panin並不是個憤世嫉俗的人躲在地下室裡寫病毒,他是SpyEye公司的創辦人和執行長。

 而且SpyEye公司對Panin和購買他產品的客戶來說都是個非常成功的成果。這可以從FBI的一些數據裡略知一二。據他們所說,Panin以1,000美元到8,500美元不等來販賣各個SpyEye版本。據信他已經賣出SpyEye給至少150名「客戶」,所以他可以淨賺15萬美元到127萬5,000美元之間。而他的許多客戶也都做得很不錯。比方說Panin的客戶之一 – 「Solider」,根據報導,他使用SpyEye在六個月內取得了超過320萬美元(趨勢科技也協助了此一案子:你可以到這裡瞭解更多行動詳情,以及到這裡瞭解「Solider」惡意活動的相關資料)。雖然可能永遠無法知道Panin和他的客戶到底有多成功,但是光2013年就估計有超過25萬台電腦感染SpyEye,超過10,000個銀行帳戶受駭。

 另一個代表SpyEye成功的標誌(並且進一步地幫助其更加成功)是在2010年10月,其對手ZeuS的作者(可以說和SpyEye一樣地成功)決定退休並轉入地下,所以將其作品交給Panin。SpyEye公司就這樣合併和吸收了ZeuS公司。這就好比Steve Jobs決定退休,並將Apple交給比爾蓋茨和微軟一樣。

 從這些種種來看,你可以看出Panin並不是條小魚,相反地,他是條最大的魚。在2013年7月1日將其逮捕是次巨大的勝利:將他徹底趕走,有效地剷除SpyEye公司。而且這裡所談到的並不只是將其逮捕,而是能夠將其定罪。

 電視節目「法律與秩序」的粉絲都清楚該劇的重點是進行逮捕的警察(「秩序」方面)和將其定罪的地方檢察官(「法律」方面)之間相互合作的重要性。逮捕行動只是第一章節的結束:定罪才結束了整個故事。本著此一精神,美國聯邦調查局在這禮拜宣布Panin認罪,意味著Panin和SpyEye公司的「法律與秩序」故事已經到達尾聲。而且這件事裡重要的是,這是認罪而非審判。就在被逮捕之後的六個月,可以證明良好的公私單位合作可以導致多麼成功的結果。

 你能從觀賞「法律與秩序」裡所學到的一件事是,能否定罪和導致逮捕的偵察和調查成果強度有直接的關係。在SpyEye的案子裡,美國聯邦調查局和趨勢科技以及其他夥伴從SpyEye在2009年首次出現開始就合作或分別參與了此案。SpyEye一案也是個跨越多個國家和司法權,有許多公共或私人成員參與的複雜案例。可以像這樣的整合在一起是件令人難以置信的壯舉。SpyEye一案更是如此,一切都互相配合,確保能夠在美國本土加以逮捕而無需引渡,讓整個案子處在更有利的狀況。

 值得一提的是,Panin選擇認罪,而非進入法院審判。我們不能確切地知道他做這個選擇的原因。但可以合理的假設,他和他的律師看到美國政府在這起案子所展現的證據實力後,覺得太過強大而沒有辦法加以反擊。這案子的證據實力來自於美國聯邦調查局和他們的合作夥伴(如趨勢科技)所調查和收集到的證據強度。

 為了讓人可以更加體會SpyEye一案所呈現的正義是如何的的迅速,可以和其他逮捕行動進行相比(趨勢科技也有參與):Esthost或DNSChanger一案。此案有七人在2011年11月9日被逮捕和起訴。在本篇文章撰寫時,七人中有四人被引渡到美國受審。SpyEye從逮捕到認罪只花了六個月又多一點,而Esthost一案自逮捕以來已經過了50個月,還在繼續糾纏下去。

 整體而言,SpyEye一案代表了打擊網路犯罪和將真正負責人繩之以法的新標準。我們希望這是好兆頭,之後的案子都能夠像是這樣。

@原文出處:Why the SpyEye Conviction is a big deal作者:Christopher Budd(全球威脅交流)