Simda
Своеобразный ботнет под кодовым названием Simda был выведен из строя в ходе совместной операции ряда правоохранительных органов и коммерческих организаций. Под руководством Интерпола в операции был задействован широкий круг участников, включая TrendMicro, Cyber Defense Institute, офицеры Национального управления Нидерландов по борьбе с преступностью в сфере высоких технологий (NHTCU), ФБР, подразделение по борьбе с высокотехнологичными преступлениями полиции Великого герцогства Люксембургского и отдел «К» по борьбе с киберпреступлениями российского МВД.
14 контрольных серверов в Нидерландах, США, Люксембурге, Польше и России были перехвачены одновременно. Предварительный анализ некоторых добытых серверных логов выявил перечень из 190 стран, пострадавших от ботнета Simda.
#Simda: скрытный вредоносный «официант»
Tweet
Сам ботнет заставил экспертов попотеть. Несмотря на свои очевидно довольно крупные размеры (до 770 тысяч инфицированных компьютеров), ботнет был ещё и довольно скрытным и неуловимым. Он редко появлялся на «радарах», по-видимому, из-за своей способности обнаруживать средства безопасности, а также эмуляцию и виртуальные машины. Вдобавок, на стороне сервера был выявлен полиморфизм, а также ограниченный срок службы ботов.
Последнее особенно интересно. Основное назначение Simda, кажется, заключалось в распределении прочих вредоносных программ по определённым машинам.
«Данная криминальная бизнес-модель раскрывает возможность эксклюзивного распространения вредоносного ПО. Это означает, что дистрибьюторы могут гарантировать, что только вредоносные программы клиента устанавливаются на зараженных машинах», — пишет Виталий Камлюк на Securelist.
Simda способна отключаться через некоторое время, и это означает, что Simda действует как своего рода «официант» — приходит, «подаёт» вредоносные программы и тихо удаляется.
Боты Simda распространялись рядом зараженных веб-сайтов, которые перенаправляли трафик к наборам эксплойтов. Они также загружали и запускали дополнительные компоненты с собственных серверов обновлений и могли модифицировать файл хост-системы. Однажды зараженные машины могут продолжать посылать HTTP-запросы вредоносным серверам, сигнализируя о том, что они по-прежнему уязвимы для повторного заражения тем же набором эксплойтов.
Назначением ботнета #Simda была доставка сторонних зловредов
Tweet
«Преступники могли использовать одни и те же эксплойты для повторного заражения машин и очередной их перепродажи, возможно, даже «эксклюзивно» первоначальному клиенту», — пишет Камлюк.
Неуловимость и явное «коммерческое» назначение ботнета показывают, что киберпреступники научились извлекать уроки из ошибок и как следует постарались, чтобы сделать свои операции скрытными, насколько это возможно.
Хотя и не вполне преуспели на этот раз: ботнет всё равно отключили, правда, лишь после того, как он заразил сонмы машин и подстегнул ведущих мировых разработчиков программного обеспечения и инструментов безопасности к совместным с правоохранителями действиям.
Благодаря sinkhole-операции и обмену данными между партнерами был организован ряд проверочных ресурсов, чтобы пользователи могли протестировать свои IP на возможную связь с Simda когда угодно в прошлом. Кликните на изображение ниже, чтобы проверить, были ли вы инфицированы.
Более подробный отчет по данной теме доступен на Securelist. Дополнительная техническая информация о ботнете и его демонтаже можно найти в пресс-релизе Интерпола и в блоге Technet компании Microsoft.
