Poland IT Hub

Zeus to jeden z najważniejszych elementów złośliwego oprogramowania w historii cyberprzestępczości finansowej, który wyznaczył przełom w profesjonalizacji ataków na bankowość online. Po raz pierwszy zidentyfikowano go w lipcu 2007 roku, gdy wschodnioeuropejscy hakerzy użyli go do kompromitacji Departamentu Transportu USA, co zasadniczo zmieniło krajobraz bezpieczeństwa bankowości internetowej.

Spis treści

W odróżnieniu od typowego malware o charakterze destrukcyjnym, Zeus został precyzyjnie zaprojektowany jako wyrafinowany trojan bankowy, zdolny do kradzieży wrażliwych danych finansowych, inicjowania nieautoryzowanych transakcji i budowania ogromnych botnetów wynajmowanych lub sprzedawanych na czarnym rynku. Znaczenie Zeusa wykracza poza jego pierwsze wdrożenia, ponieważ jego twórca, rosyjski programista Jewgienij Bogaczow („Slavic”), spopularyzował nowy model biznesowy, sprzedając go jako pakiet crimeware z pomocą techniczną i regularnymi aktualizacjami, co zdemokratyzowało dostęp do potężnej infrastruktury przestępczej.

Publiczny wyciek kodu źródłowego w maju 2011 roku zapoczątkował powstanie licznych wariantów, które do dziś zagrażają instytucjom finansowym i użytkownikom na całym świecie. Zeus stał się wzorcem dla nowoczesnych trojanów bankowych, ransomware i usługowych modeli cyberprzestępczości.

Początki i rozwój historyczny trojana bankowego Zeus

Pojawienie się Zeusa w 2007 roku

Odkrycie Zeusa w 2007 roku stanowiło punkt zwrotny w cyberprzestępczości bankowej: powstał w wyniku zaawansowanych prac rozwojowych we wschodniej Europie i przewyższał poprzednie trojany bankowe. Najwcześniejsze znane użycie dotyczyło ataku na Departament Transportu USA, choć tożsamość twórcy pozostawała początkowo niejasna.

Badacze bezpieczeństwa z firm takich jak SecureWorks, a później Kaspersky, przeanalizowali zagrożenie i ustalili, że wcześniejsze warianty krążyły pod innymi nazwami (m.in. WSNPoem, PRG). Do 2008 roku nazwa Zeus stała się powszechna, odzwierciedlając ambicję twórcy i „aspiracyjny” status narzędzia cyberprzestępców. Wczesne próbki cechowały się niespotykaną wcześniej złożonością, w tym funkcją man-in-the-browser z keyloggerem przechwytującym dane logowania w przeglądarce, praktycznie niewidocznym dla oprogramowania zabezpieczającego.

Nie tylko możliwości techniczne, ale także pełny ekosystem narzędzi i infrastruktury dowodzenia wyróżniał Zeusa: panele administracyjne do zarządzania infekcjami, pliki konfiguracyjne do profilowania konkretnych instytucji finansowych i wbudowane funkcje kradzieży danych z wielu źródeł jednocześnie.

Twórca i innowacyjny model biznesowy

Mózgiem projektu był Jewgienij Bogaczow, znany online m.in. jako „Slavic”, „A‑Z”, „Monstr”. Wyróżnił się nie tylko kompetencjami technicznymi, lecz także przedsiębiorczością: rozpoznał popyt wśród przestępców, którzy nie potrafili samodzielnie tworzyć trojanów bankowych. Zamiast wykorzystywać Zeusa wyłącznie samodzielnie, wdrożył model malware‑as‑a‑service, oferując zestaw narzędzi Zeus na podziemnych forach za ok. 700–4 000 dolarów w zależności od wersji i modułów. Ten usługowy model stworzył tętniący życiem ekosystem z ciągłymi strumieniami przychodów i regularnymi aktualizacjami omijającymi obronę.

Do najczęściej kupowanych modułów należały:

  • Firefox form‑grabber – przechwytywanie danych z formularzy przeglądarki, ok. 2 000 dolarów;
  • backconnect – trasowanie transakcji i ukrywanie źródła połączenia, ok. 1 500 dolarów;
  • Jabber – powiadamianie operatora w czasie rzeczywistym, ok. 500 dolarów;
  • VNC – pełna zdalna kontrola maszyny ofiary, ok. 10 000 dolarów.

Do wiosny 2009 roku około 5 000 klientów miało kupić zestawy Zeusa, co potwierdzało ogromny popyt na profesjonalizację przestępczej infrastruktury.

Wczesna ewolucja i penetracja rynku

Lata 2007–2011 przyniosły eksplozję adopcji i rozwoju Zeusa, który ewoluował wraz z mechanizmami bezpieczeństwa. W 2009 roku firma Prevx wykryła, że Zeus skompromitował ponad 74 000 kont FTP na serwerach takich organizacji jak Bank of America, NASA, Monster.com, ABC, Oracle, Play.com, Cisco, Amazon, BusinessWeek. Szacowano, że botnet Zeus zainfekował 3–15 mln komputerów globalnie, w tym ok. 3,6 mln w USA.

Na szybkie rozpowszechnienie wpływała integracja z istniejącymi ekosystemami przestępczymi, m.in. współpraca z grupą phishingową Rock Phish oraz infrastrukturą botnetu Avalanche – określaną jako „najbardziej proliferyczna grupa phishingowa świata”. Połączenie socjotechniki z automatyczną dystrybucją malware znacząco podniosło skuteczność kradzieży danych.

Architektura techniczna i mechanizmy działania

Podstawowe funkcje i możliwości kradzieży informacji

Zeus działa w architekturze klient‑serwer: zainfekowane komputery („boty”, „Zbots”) łączą się z serwerami command‑and‑control (C2) w celu odbierania poleceń i przesyłania skradzionych danych. Głównym celem jest kradzież wrażliwych informacji finansowych, takich jak poświadczenia bankowości online, dane kart płatniczych, pytania i odpowiedzi weryfikacyjne, CVV i dane osobowe. Zeus łączy kilka komplementarnych technik, aby maksymalizować skuteczność kradzieży.

Najważniejsze techniki kradzieży stosowane przez Zeusa obejmują:

  • keylogging – rejestrowanie naciśnięć klawiszy i haseł wprowadzanych przez użytkownika;
  • form grabbing – przechwytywanie danych z formularzy przed ich zaszyfrowaniem i wysłaniem;
  • API hooking – wstrzykiwanie kodu w proces przeglądarki i przechwytywanie wywołań funkcji sieciowych;
  • web injects – dynamiczna modyfikacja HTML i wstrzykiwanie JavaScript na stronach banków;
  • zrzuty ekranu – omijanie wirtualnych klawiatur i dodatkowych zabezpieczeń.

Po przesłaniu danych logowania, Zeus przechwytuje je i odsyła do C2, używając szyfrowanych żądań HTTP POST (RC4 z osadzonym kluczem). Poza prostą kradzieżą poświadczeń, stosuje wstrzykiwanie zawartości WWW (web injects), by wyświetlać dodatkowe fałszywe pola, np. o PIN czy numer telefonu.

Architektura botnetu i infrastruktura dowodzenia

Zeus buduje botnety w scentralizowanej architekturze C2, w której każda instalacja zawiera zaszyfrowany plik binarny z listą celów, technik iniekcji, parametrów zachowania i adresów serwerów C2. Przez panel administracyjny HTTP operatorzy mogą zarządzać dziesiątkami tysięcy botów, monitorować dane w czasie rzeczywistym i prowadzić skoordynowane ataki.

Składnice danych opierały się o bazy MySQL; w głośnym przypadku przechwycono bazę o rozmiarze 900 MB z danymi logowania 1 827 ofiar z USA, Wielkiej Brytanii, Kanady i Europy. Połączenie wyrafinowanego malware z zorganizowaną infrastrukturą prania pieniędzy stworzyło kompletny ekosystem do długotrwałych, trudnych do wykrycia oszustw.

Zaawansowanie infrastruktury potwierdza integracja z nadużyciami ACH (Automated Clearing House) w USA: Zeus przechwytuje mechanizmy uwierzytelniania ACH i inicjuje fałszywe przelewy wyglądające na legalne, które finalizują sieci „mułów”.

Rozszerzenia mobilne i ewolucja

Wraz z rosnącym znaczeniem urządzeń mobilnych i SMS‑owych mTAN (mobilnych kodów autoryzacyjnych) pojawił się mobilny wariant – ZitMo (Zeus‑in‑the‑Mobile). Infekcja komputera ofiary poprzedzała wysłanie SMS z linkiem do złośliwej aplikacji na jej platformę (początkowo Symbian, BlackBerry, Windows Mobile, później Android). Po instalacji malware przekazywało kody SMS 2FA w czasie rzeczywistym, neutralizując tę formę ochrony.

Metody infekcji i strategie dystrybucji

Podstawowe i zaawansowane wektory ataku

Zeus wykorzystywał wiele dróg wejścia do systemu. Poniżej zebrano najczęstsze techniki dystrybucji:

  • drive‑by downloads – automatyczne pobranie i uruchomienie po wejściu na zainfekowaną stronę;
  • phishing – e‑maile podszywające się pod banki i dostawców oprogramowania;
  • exploit kity (np. Blackhole) – wykorzystanie znanych i zero‑day luk bez interakcji użytkownika;
  • malvertising – złośliwy kod osadzony w reklamach na legalnych serwisach;
  • fałszywe aktualizacje – podszywanie się pod łatki do Adobe Reader, Flash, Java.

Po infekcji Zeus utrzymywał trwałość za pomocą kilku uzupełniających się mechanizmów:

  • modyfikacja rejestru i autostartu – uruchamianie wraz z systemem;
  • kopie w wielu lokalizacjach – odporność na usuwanie plików;
  • iniekcja w legalne procesy – utrudnione wykrywanie przez AV;
  • rootkit na poziomie jądra – głęboka persystencja w wybranych wariantach.

Główne warianty i linie ewolucyjne

GameOver Zeus i innowacja peer‑to‑peer

GameOver Zeus (GOZ), znany też jako peer‑to‑peer Zeus lub ZeuS3, pojawił się około 2010 roku i fundamentalnie utrudnił działania organów ścigania. Zamiast scentralizowanych serwerów C2 zastosowano zdecentralizowaną komunikację P2P, w której każdy zainfekowany komputer łączy się z wieloma innymi. Taka decentralizacja czyniła tradycyjne „takedowny” mało skutecznymi.

GOZ wprowadził DGA (domain generation algorithm) generujący ok. 1 000 nowych domen dziennie, silne szyfrowanie komunikacji, kryptograficzne podpisywanie konfiguracji i aktualizacji oraz techniki fileless. Dodatkowo GOZ zintegrowano z ransomware CryptoLocker, co stworzyło alternatywny strumień przychodów: według FBI zainfekował ponad 250 000 komputerów i spowodował straty przekraczające 100 mln dolarów, z okupami rzędu 27 mln dolarów.

Warianty wtórne i konkurenci

SpyEye pojawił się w 2009 roku jako konkurent Zeusa (m.in. funkcja „kill Zeus”), ale nie osiągnął podobnej skali. Ice IX i Citadel skorzystały z wycieku kodu w 2011 roku; Citadel rozwinął model malware‑as‑a‑service, osiągając w szczycie ponad 11 mln infekcji i ponad 500 mln dolarów strat. Carberp z zaawansowanym rootkitem połączono z Zeusem, tworząc Zberp. Shylock, Kronos i Tinba kontynuowały rozwój technik iniekcji i kradzieży poświadczeń.

Dla szybkiego porównania kluczowych wariantów przygotowano poniższą tabelę:

Wariant Lata aktywności Architektura C2 Kluczowe cechy Szacowany wpływ
Zeus (klasyczny) 2007–2011 Scentralizowana HTTP form grabbing, web injects, builder i panele admin Globalnie 3–15 mln infekcji
GameOver Zeus 2010–2014 (+ newGOZ) P2P + DGA silne szyfrowanie, fileless, integracja z CryptoLocker > 100 mln USD strat, ok. 250 tys. hostów
Citadel 2011–2015/2017 Scentralizowana HTTP malware‑as‑a‑service, modułowość, raportowanie błędów > 11 mln infekcji, > 500 mln USD strat
SpyEye 2009–2011 Scentralizowana HTTP kill Zeus”, keylogging, form grabbing Ograniczony zasięg po działaniach organów
Carberp / Zberp 2009–2012 Scentralizowana + rootkit zaciemnianie kodu, fuzja z Zeusem (Zberp) Znaczące kampanie ukierunkowane
Shylock 2011–2014 Scentralizowana man‑in‑the‑browser, „Kupiec wenecki” w kodzie Umiarkowana skala
Kronos od 2014 Scentralizowana kompatybilne iniekcje HTML, aktywność falowa Okresowe kampanie
Tinba od 2014 Scentralizowana bardzo mały rozmiar, szybka dystrybucja Szeroka obecność

Skala wpływu i straty finansowe

Statystyki infekcji i dotknięte organizacje

Skala infekcji Zeusem była bezprecedensowa: w samych USA skompromitowano ponad 3 mln komputerów, a globalnie 3–15 mln maszyn. Poszkodowani obejmowali największe instytucje finansowe (np. Bank of America), agencje rządowe (NASA, Departament Transportu USA), korporacje (Amazon, Oracle, Cisco, ABC) oraz niezliczonych użytkowników indywidualnych.

W czerwcu 2009 roku badacze Prevx ujawnili kompromitację ponad 74 000 kont FTP należących do tych instytucji, co pokazało skalę penetracji infrastruktury krytycznej. Zeus nie był kontrolowany przez jedną grupę, lecz przez wiele podmiotów działających równolegle, dzielących lub współużytkujących infrastrukturę.

Straty finansowe i przychody przestępcze

Straty związane z przestępstwami opartymi na Zeusie do 2010 roku sięgały lub przekraczały 300 mln dolarów. Śledztwo FBI przeciwko konkretnej grupie ze wschodniej Europy wykazało kradzież 70 mln dolarów i ponad 100 aresztowań (w tym 90 w USA). W 2014 roku, podczas operacji przeciwko GameOver Zeus, FBI oszacowało straty tego wariantu na ponad 100 mln dolarów w USA.

Model przychodów opierał się na praniu pieniędzy z udziałem tysięcy „mułów” rekrutowanych przez spam z ofertami pracy. Przyjmowali oni przelewy ACH i transfery kablowe, wypłacali gotówkę lub wysyłali środki za granicę do sieci firm‑wydmuszek, m.in. w rejonie przy granicy Chiny–Rosja. Operacje planowano zgodnie z „linią dnia i nocy”, z zespołami przekazującymi sobie zadania w kolejnych strefach czasowych.

Operacja High Roller i ataki ukierunkowane

Szczególnie znacząca kampania nazwana „Operation High Roller” pokazała możliwości koordynacji dużych operatorów Zeusa. Celem były banki na całym świecie; kradziono dziesiątki milionów dolarów poprzez skoordynowane kradzieże poświadczeń i nieautoryzowane transfery. Kampania dowiodła, że Zeus nadaje się nie tylko do skali masowej, lecz także do precyzyjnych ataków na konta o bardzo wysokich saldach.

Reakcja organów ścigania i zakłócenia operacyjne

Wczesne dochodzenia i aresztowania

Organy ścigania rozpoczęły intensywne dochodzenia w latach 2008–2009, gdy skala oszustw stała się widoczna. W październiku 2010 roku FBI ogłosiło dużą inicjatywę przeciwko wschodnioeuropejskim hakerom używającym Zeusa do globalnych kompromitacji i transferów nieautoryzowanych.

W latach 2010–2011 prowadzono liczne aresztowania w USA, Wielkiej Brytanii, na Ukrainie i w innych krajach, z wyrokami często przekraczającymi pięć lat więzienia. Mimo częściowych sukcesów, rozproszona natura ekosystemu sprawiła, że zagrożenia nie wyeliminowano.

Operacja Tovar i demontaż GameOver Zeus

Najważniejsza akcja przeciwko Zeusowi miała miejsce w maju 2014 roku: Operacja Tovar – bezprecedensowa współpraca służb, firm cyberbezpieczeństwa i operatorów z wielu krajów. Z uwagi na architekturę P2P klasyczne przejęcia C2 były nieskuteczne, więc zespoły odwzorowały DGA, przewidując kolejne domeny i kierując je na serwery kontrolowane przez władze.

Operacja rozpoczęła się 30 maja 2014 roku i w ciągu 4–5 godzin odcięła na masową skalę komunikację botów z C2. 2 czerwca 2014 roku Departament Sprawiedliwości USA ujawnił akt oskarżenia przeciwko Jewgienijowi Bogaczowowi. Według DOJ, do 11 lipca 2014 roku infekcje spadły o 32 procent. Mimo to wkrótce zaobserwowano „newGOZ” – nowy wariant GOZ.

Międzynarodowa koordynacja i trwające wyzwania

Mimo sukcesu Operacji Tovar, rozproszona natura Zeusa nadal utrudniała trwałe zakłócenia. Wyciek kodu źródłowego w maju 2011 roku zdemokratyzował dostęp do komponentów i umożliwił wielu niezależnym aktorom tworzenie własnych wariantów. Akt oskarżenia przeciwko Bogaczowowi odtajniono, lecz pozostaje on na wolności, przypuszczalnie w Federacji Rosyjskiej; FBI wyznaczyło 3 mln dolarów nagrody za informacje prowadzące do jego zatrzymania – najwyższą wówczas dla cyberprzestępcy.

Liczne aresztowania miały miejsce także w innych krajach (np. 19 podejrzanych w Wielkiej Brytanii w 2010 roku), ale dostępność kodu i wariantów powodowała, że po każdej akcji pojawiały się nowe kampanie.

Obrona techniczna i mechanizmy wykrywania

Wskaźniki naruszenia i metody wykrywania

Wykrywanie Zeusa jest trudne z powodu zaawansowanych technik ukrywania, polimorficznego szyfrowania oraz wariantów fileless. Klasyczne antywirusy oparte na sygnaturach często zawodzą, ponieważ każdorazowo generowana jest inna binarka. Dlatego kluczowe jest łączenie analizy hosta i ruchu sieciowego.

Do najczęstszych wskaźników naruszenia (IOC) należą:

  • nieautoryzowane transakcje – podejrzane obciążenia na wyciągach bankowych;
  • nietypowe procesy i spadek wydajności – wraz z przegrzewaniem lub niestabilnością systemu;
  • nieoczekiwane wyłączenia AV/firewalla – degradacja ochrony bez wiedzy użytkownika;
  • anomalie sieciowe – połączenia do nieznanych IP/domen, wzorce DGA, porty 10 000–30 000 w przypadku GOZ;
  • blokady i alerty bezpieczeństwa – powiadomienia o logowaniach z nowych lokalizacji.

Strategie zapobiegania i łagodzenia skutków

Skuteczna obrona wymaga podejścia wielowarstwowego łączącego ludzi, procesy i technologię. Poniższe praktyki znacząco redukują ryzyko:

  • AV/EDR z analizą behawioralną – wykrywanie anomalii zamiast polegania na samych sygnaturach;
  • aktualizacje systemów i przeglądarek – szybkie łatanie luk wykorzystywanych przez exploit kity;
  • zaawansowane MFA bez SMS – klucze sprzętowe, aplikacje TOTP, FIDO2 ograniczają skuteczność ZitMo;
  • monitorowanie transakcji – wykrywanie web injects, analityka behawioralna, limity ryzyka;
  • kontrola dostępu po IP/geolokalizacji – ograniczanie logowań z nietypowych regionów;
  • IPS inline i prewencja DNS – blokowanie exploitów, DNS sinkholing i listy blokad domen/IP;
  • procedury IR i szkolenia – ćwiczenia z phishingu, jasne playbooki reakcji.

Współczesne dziedzictwo i wpływ na nowoczesne malware

Ponowne wykorzystanie kodu i proliferacja wariantów

Publiczny wyciek kodu Zeusa w maju 2011 roku umożliwił przestępcom globalnie studiowanie, modyfikowanie i adaptowanie jego komponentów. Paradoksalnie, zamiast „zabić” projekt, zapewnił mu nieśmiertelność poprzez niezliczone warianty. Ugruntował też komercyjny model usługowy w świecie trojanów bankowych i ransomware.

Wpływ architektoniczny na nowoczesne malware

Innowacje architektoniczne Zeusa, szczególnie model P2P w GameOver Zeus, wpłynęły na kolejne rodziny malware dążące do odporności na „takedown”. Modułowość i możliwość wyboru dodatków stały się wzorcem ofert malware‑as‑a‑service, z personalizacją funkcji i wsparciem technicznym.

Techniki kradzieży danych uwierzytelniających i standardy branżowe

Techniki udoskonalone przez Zeusa – man‑in‑the‑browser, form grabbing przez API hooking, web injects oraz zrzuty ekranu – stały się standardem w nowoczesnych trojanach bankowych. Współczesne rodziny, takie jak Emotet, TrickBot czy IcedID, korzystają z podobnych metod.