Epäilykset heräsivät saman tien kuultuani tiedostosta, sillä kohdeyleisö ja tiedostotyyppi eivät osuneet oikein yksi yhteen. Taas toisaalta kohdeyleisö saattoi olla sopiva tällaiselle kokeilulle. Lähdettiin oletuksesta, että jaettu tiedosto voisi olla haitallinen.
Aloin tutkailla jar-tiedostoa hieman tarkemmin. Yllätyksenä ei tullut, että sen sisältä ei löytynyt mitään kivaa. Tai no, miten sen nyt ottaa.
Puretusta jar-tiedostosta kävi ilmi, että sen tarkoitus oli ladata toinen tiedosto (exe-tiedosto) ja suorittaa se automaattisesti. Exe-tiedoston suoritus ei näy käyttäjälle. Kuvasta 1 on huomattavissa, että vain kaksi virustorjuntaohjelmistoa havaitsi jar-tiedoston haitalliseksi.
Syynä tähän oli se, että mm. osa merkkijonoista muodostettiin kokonaisiksi vasta jar-tiedoston suorituksen aikana (kuva 2). Haittaohjelmien tekijät luonnollisesti pyrkivät käyttämään erilaisia kikkoja, jotta virustorjuntaohjelmistot eivät tunnistaisi haitallisia tiedostoja.
Jar-tiedoston lataama exe-tiedosto tunnistui haitalliseksi paremmalla prosentilla (kuva 3):
Kun haittaohjelma oli asentunut tietokoneelle, otti se yhteyttä C&C-palvelimelle. Suurena yllätyksenä tuli, että kohde-ip-osoite oli suomalainen. On tyypillistä, että C&C-palvelin sijaitsee ulkomailla tai liikenne kierrätetään ulkomaiden kautta, jotta jälkiä saadaan häivytettyä ja C&C-palvelimen alasajo olisi vaikeampaa.
Haittaohjelman levittäjä siis mahdollisesti ajoi C&C-palvelinta kotoaan tai saastuneen, Suomessa sijaitsevan tietokoneen kautta.
Exe-tiedosto oli koodattu Visual Basic 6 –ohjelmointikielellä ja sitä tutkiessa kävi pian selväksi, että kyseessä oli Blackshades commander -haittaohjelma. Kyseessä on ns. RAT (Remote Administration Tool), joita markkinoidaan yleensä ”etäkäyttöohjelmistoina”. Tämän version kohdalla mainostettuja ominaisuuksia on mm. Bitcoin-lompakon "palautustoiminto" ja mahdollisuus haittaohjelman jakamiseen Facebookin kautta.
Haittaohjelman levittäjälle oli kuitenkin käynyt paha moka. Exe-tiedostoon oli jäänyt hänen tietokoneeltaan tietoja, joiden perusteella epäillyn henkilön jäljittäminen voisi olla mahdollista.
Muutamien hakutuloksien jälkeen, kasassa oli jo melkoinen määrä tietoa epäillystä henkilöstä. Löydetyn tiedon perusteella pystyi jo vetämään osittain johtopäätöksiä levittäjän henkilöllisyydestä.
Kuvassa 4 on Blackshades commander -haittaohjelman hallintapaneeli, jossa on esiteltynä saastuneiden koneiden satoa.
Henkilö harrasti myös kaupankäyntiä. Tarjolla olisi ollut parilla kympillä useampia botteja eli valmiiksi saastuneita tietokoneita. Erikoisuutena kaupassa oli se, että saastuneiden tietokoneiden käyttäjät olivat kaikki naispuolisia, suomalaisia henkilöitä ja osalla heistä oli myös web-kamera (kuva 5).
Tarjonta ei loppunut tähän. Pelitilejä oli myynnissä kymmenittäin eri alustoille hyvin edullisesti. Pelitilien myyminen taitaa yleensäkin olevan käyttöehtojen vastaista esim. Steamissa ja suuri volyymi sekä todella halvat hinnat eivät anna kovin rehellistä kuvaa kaupanteosta. Myyjä mainitsi itsekin, että ei ota vastuuta siitä, mitä hänen myymilleen pelitileille tapahtuu kaupanteon jälkeen.
Ilmeisesti myös palvelunestohyökkäykset olivat välillä tarpeen. Henkilöllä oli jäsenyys ns. ”stresser”-sivustolle, josta pystyi maksua vastaan tilaamaan palvelunestohyökkäyksen haluamalleen sivustolle. Mitä enemmän jäsenyydestä maksat, sitä pidemmän ja tehokkaamman palvelunestohyökkäyksen saat tilattua. Kuvassa 6 on esitelty erään stresser-palvelun tarjontaa. Kyseinen sivusto ei liity tapaukseen.
Stresser-sivustolta saaduista tiedoista kävi ilmi henkilön aikaisemmin käytössä ollut IP-osoite. Kyseinen IP-osoite antoi viitteen samaan maantieteelliseen sijaintiin kuin haittaohjelman käyttämä C&C-palvelimen IP-osoite ja henkilön asuinpaikkakunta.
Henkilö oli käyttänyt samaa sähköpostiosoitetta useassa paikassa, jonka perusteella asiaan saatiin lisävarmistusta. Myös muita todentavia yksityiskohtia löytyi, joiden perusteella henkilöllisyys varmistui.
Kyseinen henkilö ei näytä olleen kohteena viimeaikaisessa Blackshades-ratsiassa.
 |
| Kuva 1. Jar-tiedoston skannaus. |
Syynä tähän oli se, että mm. osa merkkijonoista muodostettiin kokonaisiksi vasta jar-tiedoston suorituksen aikana (kuva 2). Haittaohjelmien tekijät luonnollisesti pyrkivät käyttämään erilaisia kikkoja, jotta virustorjuntaohjelmistot eivät tunnistaisi haitallisia tiedostoja.
 |
| Kuva 2. Merkkijonojen muodostamista. |
Jar-tiedoston lataama exe-tiedosto tunnistui haitalliseksi paremmalla prosentilla (kuva 3):
 |
| Kuva 3. Exe-tiedoston skannaus. |
Kun haittaohjelma oli asentunut tietokoneelle, otti se yhteyttä C&C-palvelimelle. Suurena yllätyksenä tuli, että kohde-ip-osoite oli suomalainen. On tyypillistä, että C&C-palvelin sijaitsee ulkomailla tai liikenne kierrätetään ulkomaiden kautta, jotta jälkiä saadaan häivytettyä ja C&C-palvelimen alasajo olisi vaikeampaa.
Haittaohjelman levittäjä siis mahdollisesti ajoi C&C-palvelinta kotoaan tai saastuneen, Suomessa sijaitsevan tietokoneen kautta.
Exe-tiedosto oli koodattu Visual Basic 6 –ohjelmointikielellä ja sitä tutkiessa kävi pian selväksi, että kyseessä oli Blackshades commander -haittaohjelma. Kyseessä on ns. RAT (Remote Administration Tool), joita markkinoidaan yleensä ”etäkäyttöohjelmistoina”. Tämän version kohdalla mainostettuja ominaisuuksia on mm. Bitcoin-lompakon "palautustoiminto" ja mahdollisuus haittaohjelman jakamiseen Facebookin kautta.
Haittaohjelman levittäjälle oli kuitenkin käynyt paha moka. Exe-tiedostoon oli jäänyt hänen tietokoneeltaan tietoja, joiden perusteella epäillyn henkilön jäljittäminen voisi olla mahdollista.
Muutamien hakutuloksien jälkeen, kasassa oli jo melkoinen määrä tietoa epäillystä henkilöstä. Löydetyn tiedon perusteella pystyi jo vetämään osittain johtopäätöksiä levittäjän henkilöllisyydestä.
Kuvassa 4 on Blackshades commander -haittaohjelman hallintapaneeli, jossa on esiteltynä saastuneiden koneiden satoa.
 |
| Kuva 4. Hallintapaneeli (haittaohjelman levittäjän kuvankaappaus). |
Henkilö harrasti myös kaupankäyntiä. Tarjolla olisi ollut parilla kympillä useampia botteja eli valmiiksi saastuneita tietokoneita. Erikoisuutena kaupassa oli se, että saastuneiden tietokoneiden käyttäjät olivat kaikki naispuolisia, suomalaisia henkilöitä ja osalla heistä oli myös web-kamera (kuva 5).
 |
Kuva 5. Myyntikohteita (haittaohjelman levittäjän kuvankaappaus).
|
Tarjonta ei loppunut tähän. Pelitilejä oli myynnissä kymmenittäin eri alustoille hyvin edullisesti. Pelitilien myyminen taitaa yleensäkin olevan käyttöehtojen vastaista esim. Steamissa ja suuri volyymi sekä todella halvat hinnat eivät anna kovin rehellistä kuvaa kaupanteosta. Myyjä mainitsi itsekin, että ei ota vastuuta siitä, mitä hänen myymilleen pelitileille tapahtuu kaupanteon jälkeen.
Ilmeisesti myös palvelunestohyökkäykset olivat välillä tarpeen. Henkilöllä oli jäsenyys ns. ”stresser”-sivustolle, josta pystyi maksua vastaan tilaamaan palvelunestohyökkäyksen haluamalleen sivustolle. Mitä enemmän jäsenyydestä maksat, sitä pidemmän ja tehokkaamman palvelunestohyökkäyksen saat tilattua. Kuvassa 6 on esitelty erään stresser-palvelun tarjontaa. Kyseinen sivusto ei liity tapaukseen.
 |
| Kuva 6. Stresser-palvelun tarjontaa. |
Stresser-sivustolta saaduista tiedoista kävi ilmi henkilön aikaisemmin käytössä ollut IP-osoite. Kyseinen IP-osoite antoi viitteen samaan maantieteelliseen sijaintiin kuin haittaohjelman käyttämä C&C-palvelimen IP-osoite ja henkilön asuinpaikkakunta.
Henkilö oli käyttänyt samaa sähköpostiosoitetta useassa paikassa, jonka perusteella asiaan saatiin lisävarmistusta. Myös muita todentavia yksityiskohtia löytyi, joiden perusteella henkilöllisyys varmistui.
Kyseinen henkilö ei näytä olleen kohteena viimeaikaisessa Blackshades-ratsiassa.
