Šta se dešava sa Trojancem Carberp: zbog sukoba članova bande prodaje se izvorni kod malvera

Vesti, 19.06.2013, 10:52 AM

Na ruskim forumima, na kojima je uvek živo, hakeri amateri i profesionalci nude najrazličitije alate za hakovanje, a ovlašćeni dileri prodaju malvere, bot mreže, rootkit-ove, ukradene podatke korisničkih naloga i sve to po veoma pristupačnim cenama. Različite verzije malvera, kao što je bankarski Trojanac Zeus, prodaju se svakodnevno kao i svaka druga roba. Međutim, izvorni kod poznatog malvera koji se prodaje je nešto što se retko može videti. Zato je vredno pomena otkriće istraživača firme Trusteer koji su na jednom ruskom forumu naišli na oglas člana foruma koji prodaje izvorni kod Trojanca Carberp po ceni od 50000 dolara.

Prodavac koji koristi nadimak „=Sj=“, dao je detaljni opis novih kapaciteta malvera. Prodavac u oglasu ističe da se izvorni kod prodaje u dogovoru sa autorom Carberp-a, i da kupci mogu biti samo pouzdani članovi foruma. Ovo je verovatno posebno istaknuto u oglasu jer se na drugim forumima isti izvorni kod prodaje po znatno manjoj ceni od 5000 dolara za kod Trojanca i njegove dodatne komponente.

50000 dolara koliko traži „=Sj=“ za kod Carberp-a je veoma povoljna cena, imajući u vidu da sajber kriminalci uz pomoć jednog ovakvog Trojanca mogu zaraditi milione. Sa druge strane, onaj ko nudi isti kod po znatno nižoj ceni može biti kupac koji se sveti prodavcu Carberp-a zbog kršenja ugovora, pretpostavka je stručnjaka Trusteer-a.

Koliko je to mala cena govori podatak da je početkom godine kriminalna grupa Carberp nudila na prodaju builder aplikaciju koja se koristi za generisanje kopija Trojanca prilagođenih korisniku, tražeći za ovaj program 40000 dolara. Pored toga, verzije malvera koje se prave po naružbini se nude uz mesečnu pretplatu koja se kreće od 2000 do 10000 dolara u zavisnosti od dodatih modula.

Andrej Komarov iz ruske firme za istraživanje sajber kriminala Group-IB, kaže da izvorni kod Trojanca vredi između 50000 i 70000 dolara, tako da je aktuelna ponuda najniža moguća.

Carberp je debitovao 2010. godine, kao Trojanac u privatnom vlasništvu, koji nije bio na prodaju a program je razvijala i koristila samo jedna kriminalna grupa. Međutim, 2011. godine je započela limitirana prodaja builder aplikacije, tako da je broj prevara u kojima je učestvovao Carberp bio višestruko veći.

Dugo vremena je ovaj Trojanac skoro isključivo korišćen u napadima na klijente banaka u Rusiji, Ukrajini, Belorusiji, Kazahstanu, Moldaviji i drugim bivšim članicama SSSR-a. Ali od ove godine, napadi Carberp-a zabeleženi su i među korisnicima američkih i australijskih banaka.

Nekoliko pojedinaca je ranije uhapšeno zbog sumnje da su umešani u Carberp operacije, a Komarov kaže da kriminalna grupa Carberp trenutno broji 12 aktivnih članova, od kojih je većina iz Ukrajine i Rusije, mada ima i onih koji žive u zemljama EU.

Grupa je poznata i po tome što unajmljuje programere za razvoj dodatnih modula malvera. Tako su na primer kineski hakeri bili angažovani da razviju bootkit komponentu (boot-level rootkit) koja se može koristiti zajedno sa Trojancem.

Komarov za razliku od stručnjaka Trusteer-a veruje da je posredi sukob unutar bande Carberp. Osoba koja koristi nadimak „madeinrm“ i koja nudi kod Carberp-a po ceni od 5000 dolara tvrdi da je drugi član bande koji koristi nadimak „batman“ i koji je rukovodio podrškom za klijente kriminalne grupe, već prodao kod drugima.

Stručnjaci predviđaju da će prodaja izvronog koda Carberp-a rezultirati pojavom novih bankarskih malvera koji će proisteći iz koda Carberp-a, što se dogodilo kada je procurio kod bankarskog Trojanca Zeus koji se pojavio na fajl-šering sajtovima.

Prodavac verovatno namerava da napusti grupu i započne druge projekte, što se dešavalo i ranije da autori malvera odustanu od njihovog daljeg razvoja.

Ostaje da se vidi kako će se sukob unutar grupe okončati i kakav će to uticaj imati na budućnost Trojanca Carberp.