En inficeret bannerreklame leveret gennem Midtjyllands Avis har med høj sandsynlighed betydet tyverier af penge fra danske netbanker og misbrug af danske betalingskort.

Det siger Peter Kruse fra sikkerhedsfirmaet CSIS, som netop er ved at infiltrere to russiske command and contol-servere, som blev benyttet til at indfange og kontrollere Windows-maskiner, som er blevet inficeret via et såkaldt drive-by angreb hos Midtjyllands Avis.

Her leverede en inficeret reklame på avisens hjemmeside i slutningen af november ondsindet kode til avisens læsere over flere dage. Den skadelige kode er ifølge Peter Kruse en avanceret informationstyv i Carberp-familien som blev plantet ved at udnytte sårbarheder i blandt andet programmerne Adobe Reader og Java.

Høster data på kontrolservere

Ifølge Peter Kruse har firmaet i lang tid håbet på at få fingre i de centrale kontrolservere, fordi i al fald den ene har været benyttet til en del forsøg på netbank-tyverier i Danmark begået af personerne bag Carberp.

Command and control-servere benyttes til at styre og kontrollere botnets, og det er også herfra inficerede klientmaskiner eller zombier henter og afleverer information.

"Derfor har vi været meget interesserede i, hvor mange maskiner de egentlig har inficeret," siger Peter Kruse.

Peter Kruse fortæller, at det tirsdag formiddag lykkedes at få adgang til serverne, og at firmaet nu arbejder på at indsamle beviser på de danske netbank-tyverier ved at høste data.

Dårlig kode giver adgang

Men før man har adgang til de centrale servere, kræver det en hel del analyse at finde en åben sprække i sikkerheden, forklarer Peter Kruse

"Vi udnytter design-fejl som de (bagmændene, red.) begår. En af metoderne er at inficere en maskine med vilje og kigge på, hvilken trafik der så går igennem den maskine. Vi analyserer trafikken for at se, om der skulle være svagheder i den måde, designet mellem maskinen og botnettet er blevet lavet, siger Peter Kruse.

Selvom fremgangsmåden lyder offensiv, mener Peter Kruse ikke, at der er tale om, at CSIS tiltvinger sig adgang til serverne.

"Man må sige, at vi nok er inde i en fase, hvor man er nødt til at kigge på det på en anden måde, end man har gjort førhen. Vi kommer til at bruge mange flere honeypots (honningkrukker, red.) end tidligere," siger Peter Kruse. Honningkrukkerne skal i form af computere, der ser ud til at tilhøre en del af et bestemt netværk, opdage og til dels modvirke forsøg på misbrug af it-systemer.

Ifølge Peter Kruse analyserer man i detaljer datatransmissionen frem og tilbage imellem en inficeret maskine og kontrolserverne.

"Og hvis man kan finde en fejl i måden, hvorpå serveren modtager data fra zombien på, så forsøger man at anvende det til egen fordel uden at bryde ind i serveren," siger Peter Kruse.

Vasker penge hvide med julegaver

Han fortæller, at firmaet har konstateret, at bagmændene i øjeblikket handler flittigt ind til jul fra serverne.

"For at hvidvaske pengene køber de varer i stedet for at bruge mulddyr og bankoverførsler," siger Peter Kruse, der fortæller, at indkøbene primært omhandler dyr elektronik.

Han fortæller, at bannerangrebet mod Midtjyllands Avis har givet en høj koncentration af inficerede maskiner, som har kommunikeret med de russiske command and control-servere.

Ofrene er dermed koncentreret geografisk, men de er kunder i en lang række forskellige pengeinstitutter, fortæller Peter Kruse.

Lille svind på netsalg

Hos Nets fortæller pressechef Søren Winge, at firmaet endnu ikke har opgjort tabstallene fra sidste halvår af 2010, men at misbruget af betalingskort i forbindelse med fjernsalg udgjorde 6,7 millioner kroner. Dermed udgjorde misbruget 0,05 procent af omsætningen på 14 milliarder kroner i første halvår.

Det er endnu ikke lykkedes at få oplysninger fra bankernes interesseorganisation, Finansrådet, om tab som følge af netbank-kriminalitet.

Denne artikel er leveret af FinsnsWatch´s samarbejdspartner Epn.dk