Czołowe firmy z branży IT Security zamykają botnet SIMDA – serwery C2 zlokalizowano także w Polsce

13 kwietnia, 2015

W globalnej operacji koordynowanej przez jednostkę Interpol Global Complex for Innovation grupa czołowych firm z branży IT, w tym Kaspersky Lab, Microsoft, Trend Micro oraz Instytut ds. Cyberobrony z Japonii, we współpracy z organami ścigania, rozbiła przestępczy botnet Simda – sieć składającą się z tysięcy zainfekowanych komputerów na całym świecie. Serwery kontroli wykorzystywane przez cyberprzestępców działały m.in. w Polsce.

klp mapa ofiar simda

W serii skoordynowanych operacji przeprowadzonych w czwartek 9 kwietnia 2015 r. przechwycono w Holandii 10 cyberprzestępczych serwerów kontroli. Kolejne serwery zostały odłączone w Stanach Zjednoczonych, Rosji, Luksemburgu oraz Polsce. W operacji uczestniczyli oficerowie z Dutch National High Tech Crime Unit (NHTCU) w Holandii, FBI w Stanach Zjednoczonych, Police Grand-Ducale Section Nouvelles Technologies w Luksemburgu oraz Departamentu ds. Cyberprzestępczości “K” Rosyjskiego Ministerstwa ds. Wewnętrznych wspieranego przez Interpol National Central Bureau w Moskwie.   
   
Operacje te powinny w znaczącym stopniu rozbić działanie botnetu. Zwiększą one koszty i ryzyko po stronie cyberprzestępców chcących kontynuować swoją nielegalną działalność i zapobiegną wykorzystywaniu komputerów ofiar do celów cyberprzestępczych.    

Najważniejsze informacje o botnecie Simda

Simda to szkodliwe oprogramowanie oparte na modelu „pay-per-install”, wykorzystywane w celu rozprzestrzeniania niechcianych programów oraz różnych rodzajów szkodliwych aplikacji, w tym potrafiących kraść dane uwierzytelniające transakcje finansowe. Model „pay-per-install” pozwala cyberprzestępcom zarabiać pieniądze poprzez sprzedaż dostępu do zainfekowanych komputerów innym przestępcom, którzy następnie instalują na nich dodatkowe programy.

Simda jest rozprzestrzeniany za pośrednictwem wielu zainfekowanych stron internetowych przekierowujących do zestawów expoitów (szkodliwych programów atakujących przez luki w zabezpieczeniach systemów operacyjnych i aplikacji). Atakujący włamują się na legalne witryny internetowe/serwery, tak aby strony internetowe wyświetlane osobom odwiedzającym zawierały szkodliwy kod. Gdy użytkownicy przeglądają takie strony, szkodliwy kod ukradkiem ładuje zawartość ze strony zawierającej exploita i infekuje nieuaktualniony komputer.  

Botnet Simda został zidentyfikowany w ponad 190 państwach, z których najbardziej dotknięte zostały Stany Zjednoczone, Wielka Brytania, Rosja, Kanada oraz Turcja. Uważa się, że omawiany bot zainfekował 770 000 komputerów na całym świecie, przy czym zdecydowana większość ofiar była zlokalizowana w Stanach Zjednoczonych (ponad 90 000 nowych infekcji od początku 2015 r.).   
 
Aktywny od lat, botnet Simda był poddawany coraz większym udoskonaleniom umożliwiającym wykorzystywanie każdej luki w zabezpieczeniach, przy czym co kilka godzin generowano i dystrybuowano nowe, trudniejsze do wykrycia wersje. W tym momencie bazy wykorzystywane przez produkty Kaspersky Lab do wykrywania szkodliwego kodu zawierają informację o ponad 260 000 plików wykonywalnych należących do różnych wersji botnetu Simda.  Obecnie trwa zbieranie informacji i danych analitycznych w celu zidentyfikowania cyberprzestępców odpowiedzialnych za botnet Simda.

„Ta uwieńczona sukcesem operacja podkreśla wartość i potrzebę partnerstwa, w ramach którego krajowe i międzynarodowe organy ścigania oraz branża prywatna łączą siły w walce z globalnym zagrożeniem w formie cyberprzestępczości” – powiedział Sanjay Virmani, dyrektor Centrum ds. Przestępczości Cyfrowej działającego w ramach Interpolu. „Operacja ta stanowiła poważny cios dla botnetu Simda. Interpol będzie kontynuował swoje działania mające na celu pomaganie państwom członkowskim w zapewnieniu ochrony swoim obywatelom przed cyberprzestępstwami oraz zidentyfikowanie innych pojawiających się zagrożeń”.

„Botnety to geograficznie rozproszone sieci, dlatego ich ‘odłączenie’ stanowi zwykle wyzwanie. To dlatego tak istotna jest tu współpraca pomiędzy sektorem publicznym a prywatnym – każda strona wnosi swój istotny wkład we wspólny projekt. W tym przypadku zadaniem Kaspersky Lab było dokonanie analizy technicznej szkodliwego kodu, gromadzenie danych telemetrycznych dotyczących botnetu z sieci Kaspersky Security Network oraz doradzanie na temat strategii odłączania sieci zainfekowanych maszyn” – powiedział Witalij Kamliuk, główny badacz ds. bezpieczeństwa, Kaspersky Lab, obecnie oddelegowany do Interpolu.

Operacja rozbicia botnetu doprowadziła do zamknięcia serwerów kontroli wykorzystywanych przez cyberprzestępców w celu komunikacji z zainfekowanymi maszynami. Należy jednak zauważyć, że niektóre infekcje nadal występują.

Aby pomóc ofiarom wyleczyć swoje komputery, Kaspersky Lab stworzył specjalną stronę CheckIP: https://checkip.kaspersky.com. W serwisie tym użytkownicy mogą sprawdzić, czy ich adresy IP zostały zidentyfikowane na serwerach kontroli Simda, co może wskazywać na aktywną lub przeszłą infekcję.

Zidentyfikowanie adresu IP użytkownika niekonieczne oznacza, że system jest zainfekowany – w niektórych przypadkach jeden adres IP może być wykorzystywany przez kilka komputerów w tej samej sieci (mogą być na przykład obsługiwane przez jednego dostawcę usług internetowych). Sensownym rozwiązaniem jest jednak dwukrotne sprawdzenie i przeskanowanie systemu przy użyciu wszechstronnego rozwiązania bezpieczeństwa, np. darmowego narzędzia Kaspersky Security Scan lub bezpłatnej wersji testowej Kaspersky Internet Security. Można wykorzystać również darmowe narzędzie Microsoft Safety Scanner, skaner w chmurze Trend Micro HauseCall, narzędzie od Cyber Defense Institute Simda.AT Infection Check lub zweryfikuj ręcznie infekcję – jeśli plik HOSTS w C:\Windows\System32\drivers\etc zawiera podejrzane wpisy Twój komputer należy do sieci botnet SIMDA.

SIMDA host file

Szczegóły o zagrożeniu na:

źródło: Kaspersky Lab

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]