Egy világméretű művelet keretében a szingapúri INTERPOL Global Complex for Innovation, valamint a vezető IT-cégek egy csoportja, köztük a Kaspersky Lab, a Microsoft, a Trend Micro és a japán Cyber Defense Institute a rendvédelmi szervekkel együttműködésben kiiktatta a bűnözők által üzemeltetett Simda bothálózatot, amely világszerte több ezer fertőzött PC-ből áll.
Április 9-én, csütörtökön egy sor egyidejűleg végrehajtott művelet eredményeképpen 10 parancs és vezérlő szervert foglaltak le a hatóságok Hollandiában, és további szervereket állítottak le az Egyesült Államokban, Oroszországban, Luxemburgban és Lengyelországban.
Április 9-én, csütörtökön egy sor egyidejűleg végrehajtott művelet eredményeképpen 10 parancs és vezérlő szervert foglaltak le a hatóságok Hollandiában, és további szervereket állítottak le az Egyesült Államokban, Oroszországban, Luxemburgban és Lengyelországban.
Az akcióban a hollandiai Dutch National High Tech Crime Unit (NHTCU), az amerikai Federal Bureau of Investigation (FBI), a luxemburgi Police Grand-Ducale Section Nouvelles Technologies, valamint az orosz Belügyminisztérium ?K? kiberbűnözéssel foglalkozó, az INTERPOL moszkvai hivatala által támogatott osztályának munkatársai vettek részt.
[agadsense]
Az akció célja a botnet működésének jelentős megbénítása volt, melynek eredményeképpen a kiberbűnözők csak jelentős költségekkel és kockázattal tudják tovább folytatni illegális tevékenységüket, továbbá az áldozatok számítógépei nem tudnak részt venni a rosszindulatú műveletekben.
A Simda egy ?pay-per-install? jellegű malware, amelyet illegális szoftverek és különféle rosszindulatú programok, többek között banki bejelentkezési információk ellopására szolgáló programkártevők terjesztésére használnak. A pay-per-install üzleti modell lehetővé teszi a kiberbűnözők számára, hogy pénzt keressenek a fertőzött PC-khez való hozzáférés más bűnözőknek való eladásából; a vevők további programokat telepítenek ezekre a számítógépekre.
A Simda terjesztéséhez számos fertőzött webhelyet használnak, amelyeket a kihasználó kódhoz irányítanak át. A támadók legális webhelyeket/szervereket törnek fel, amelyeken rosszindulatú kódot helyeznek el. Amikor a felhasználók meglátogatják ezeket a weboldalakat, a rosszindulatú kód észrevétlenül tartalmat tölt be a kihasználásra készült webhelyről és megfertőzi a nem megfelelően frissített PC-t.
A Simda bothálózat jelenlétét 190 országban észlelték, és leginkább az Egyesült Államok, az Egyesült Királyság, Oroszország, Kanada és Törökország érintett.
Becslések szerint a bot 770,000 számítógépet fertőzött meg világszerte, az áldozatok túlnyomó része az Egyesült Államokban található (2015 eleje óta 90,000 új fertőzést észleltek).
Az évek óta aktív Simda olyan mértékben kifinomulttá vált, hogy bármely sérülékenységet képes kihasználni. Új, nehezebben észlelhető változatai pár óránként jelennek meg. Jelenleg a Kaspersky Lab vírusgyűjteményében a Simda malware különféle verzióihoz tartozó, több mint 260,000 végrehajtható fájl található.
Jelenleg folyik az információk gyűjtése annak érdekében, hogy azonosítsák a Simda bothálózat mögött álló személyeket, akik pénzért árulják más kiberbűnözőknek az általuk készített malware szolgáltatásait.
?Ez a sikeres akció kihangsúlyozza a nemzeti és nemzetközi bűnüldöző szervek, valamint a magánszektor együttműködésének értékes mivoltát és szükségességét a kiberbűnözés elleni globális küzdelemben,? mondta Sanjay Virmani, az INTERPOL Digital Crime Centre igazgatója. ?Az akció jelentős mértékben megbénította a Simda bothálózat működését. Az INTERPOL továbbra is segíteni fogja a tagállamokat, hogy hatékonyan megvédhessék polgáraikat a kiberbűnözőktől, és képesek legyenek azonosítani az újabb fenyegetéseket.?
?A botnetek földrajzilag elosztott hálózatok, és általában komoly feladatot jelent a leállításuk. Ezért kritikus fontosságú az állami és a magánszektor együttes erőfeszítése a közös cél elérése érdekében. Ebben az esetben a Kaspersky Lab feladata a bot technikai elemzése, a bothálózattal kapcsolatos adatok begyűjtése a Kaspersky Security Network-től, valamint a leállítási stratégiákra vonatkozó tanácsadás volt,? tette hozzá Vitaly Kamluk, a Kaspersky Lab vezető biztonsági kutatója és jelenleg a vállalat az INTERPOL-hoz kirendelt munkatársa.
A kiiktatási akció eredményeképpen a megfertőzött számítógépekkel való kommunikációra használt parancs és vezérlő szervereket leállították. Ugyanakkor fontos megjegyezni, hogy a fertőzések egy része továbbra is fennáll. Annak érdekében, hogy segítse az áldozatokat PC-jük megtisztításában, a Kaspersky Lab létrehozott egy speciális CheckIP webhelyet. Itt ellenőrizhetik a felhasználók, hogy IP-címüket megtalálták-e a kutatók a Simda parancs és vezérlő szerverein, ami arra utalhat, hogy számítógépük jelenleg fertőzött vagy korábban az volt. Az IP címek a szerverek leállításának eredményeképpen váltak elérhetővé.
Ha valakinek az IP címe érintett, ez még nem jelenti szükségszerűen azt, hogy a gépe fertőzött ? egyes esetekben ugyanazt az IP címet több számítógép is használhatja ugyanabban a hálózatban. Mindenesetre ilyenkor érdemes vírusvizsgálatot végezni egy megbízható biztonsági megoldással, például az ingyenes Kaspersky Security Scan-nel vagy a Kaspersky Internet Security próbaváltozatával.
