Odin-varianten av Zeus skal først og fremst være rettet mot de nordiske landene og ventes å bli brukt i forbindelse med industrispionasje. Den skal være vanskeligere å oppdage enn tidligere varianter.

Ny Zeus-trojaner rettes mot Norge

«Odin» vil trolig brukes til industrispionasje.

Sikkerhetsselskapet RSA advarer nå om at en ny variant av bank- og finanstrojaneren Zeus er under utvikling. Zeus ble første gang tilbudt i 2007. RSA FraudAction Research Lab har analysert det som ser ut til å være en betaversjon av den nye varianten, som Zeus-prosjektet kalles for Zeus 0.2.0.0. Den skal foreløpig ikke ha blitt solgt til andre kriminelle.

Til digi.no forteller Kaja Narum, nordenansvarlig i RSA, at selskapet har gitt trojaneren navnet «Odin» fordi den i stor grad er rettet mot Norge og Norden. Men også andre europeiske mål er med i «trigger-listen». Dette inkluderer mål i blant annet Portugal. Til nå har Norge vært mindre berørt enn mange andre land i den vestlige verden.

Narum forteller at det i en periode så ut til at Zeus hadde forsvunnet, og at trojaneren SpyEye hadde overtatt. Men nå framstår situasjonen som om at det er en form for krig mellom de to. Blant annet har prisen på begge falt dramatisk på kort tid – fra tidliger 4000 til 10 000 dollar, til dagens 600 dollar eller mindre, i tillegg til spesialtilpasninger.

– Det kommer stadig nye versjoner av begge, hvor de hele tiden forfines, sier Narum.

– Man kan egentlig kalle Zeus for et prosjekt. Det tilbys ulike varianter med forskjellig funksjonalitet, det finnes dokumentasjon og det tilbys kundesupport også videre. I underverdenen kan man kjøpe Zeus som en tjeneste. Vi mener at det finnes minst 5 millioner pc-er i verden som er infisert, og ikke bare innen bank- og finansmiljøer, forteller Narum. Det at den tilbys på denne måten gjør det hele enklere for de som benytter Zeus.

Kaja Narum er nordenansvarlig i RSA.
Kaja Narum er nordenansvarlig i RSA. Bilde: RSA

Odin-varianten tar i bruk i bruk en prosesskapringsmetoden som RSA tidligere ikke har sett maken til. Dette brukes for at prosessen til trojaneren ikke så enkelt skal kunne oppdages på den infiserte maskinen. Odin overskriver målprosessens feilhåndtering og injiserer «interrupt 3»-unntak i begynnelsen av funksjonen den ønsker å kapre.

Odin benytter også en noe modifisert krypteringsteknikk. Den benytter også helt nye meldingsidentifikatorer.

Narum forteller at mens det tidligere ofte var bank- og finansinformasjon som kontonumre Zeus-kundene var ute etter, ser det nå ut til å informasjonsstjelingen er i ferd med å flyttes også over på andre områder, hvor det kan være like mye penger å hente.

Dette inkluderer det RSA kaller for IP (Intellectual Property), noe som ifølge Narum typisk omfatter informasjon om kjernevirksomheten til en bedrift.

– Dette kan være informasjon om den finansielle situasjonen, programvarekode for produkter, produktdesign, skiller, planer og salgsstrategier – noe som kan ha stor verdi dersom det kan kommer i feil hender, sier Narum.

Zeus opereres typisk på vegne av oppdragsgivere. RSA deler disse oppdragsgiverne inn i fire kategorier.

  1. Småkriminelle, som mest er til irritasjon. Disse forsøker å få en økonomisk gevinst av informasjonsinnsamlingen. Narum beskriver disse som «script kiddies» som ikke lenger er tenåringer.
  2. Aktivister. Er på jakt etter informasjon og IP som de vil benytte for å nå ideologiske mål. Anonymous nevnes som eksempel.
  3. Land/nasjoner som vil få tilgang til IP for å bruke det til egen fordel. Narum beskriver dette som ren industrispionasje.
  4. Terrorister. RSA har ikke så informasjon om hvordan disse bruker informasjonen.

Narum sier ikke noe konkret om hvordan RSA har kommet over Odin, men forklarer at selskapets Anti-Fraud Command Center (AFCC) med sine 400 ansatte blant annet infiltrere de kriminelle miljøene. I tillegg samarbeider AFCC ifølge Narum tett med politi og sikkerhetsmyndigheter, samt med antivirusselskaper og alle de store internettleverandørene. Dessuten deles informasjon mellom kundene til selskapet i det som kalles RSA eFraudNetwork.

– Dette hjelper kundene med å forstå om det finnes IP fra dem selv der ute, avslutter Narum.

    Les også:

Til toppen