Σε μια παγκόσμια επιχείρηση που συντονίζεται από το GlobalComplexforInnovation της INTERPOL στη Σιγκαπούρη, κορυφαίες εταιρείες του κλάδου της Πληροφορικής, συμπεριλαμβανομένης της Kaspersky Lab, της Microsoft, της Trend Micro και του Ινστιτούτου Ψηφιακής ¶μυνας της Ιαπωνίας, σε συνεργασία με διωκτικές αρχές ανέστειλαν τη λειτουργία του εγκληματικού botnet Simda, ενός δικτύου χιλιάδων «μολυσμένων» υπολογιστών σε όλο τον κόσμο.

Με μια σειρά ταυτόχρονων δράσεων την Πέμπτη 9 Απριλίου, κατασχέθηκαν 10 Command & Control serversστην Ολλανδία, ενώ διακόπηκε και η λειτουργία αντίστοιχων servers στις ΗΠΑ, τη Ρωσία, το Λουξεμβούργο και την Πολωνία. Στην επιχείρηση συμμετείχαν το Σώμα Αντιμετώπισης Τεχνολογικού Εγκλήματος της Ολλανδικής Αστυνομίας (NHTCU), το Ομοσπονδιακό Γραφείο Ερευνών (FBI) των ΗΠΑ, το Τμήμα Νέων Τεχνολογιών της Αστυνομίας του Μεγάλου Δουκάτου του Λουξεμβούργου και ο Τομέας “K” του Τμήματος Ψηφιακού Εγκλήματος του Ρωσικού Υπουργείου Εσωτερικών, με την υποστήριξη του Κεντρικού Εθνικού Γραφείου της INTERPOL στη Μόσχα.

Η εξέλιξη αυτή αναμένεται να διαταράξει σημαντικά τη λειτουργία του botnet. Επίσης, θα αυξήσει το κόστος και τον κίνδυνο για τους ψηφιακούς εγκληματίες που σκοπεύουν να συνεχίσουν τις παράνομες δραστηριότητες τους, ενώ θα προλάβει και τη συμμετοχή των υπολογιστών των θυμάτων σε κακόβουλες ενέργειες.

Τι είναι το Simda

Το Simda είναι ένα “pay-per-install” κακόβουλο λογισμικό που χρησιμοποιείται για τη διανομή παράνομου λογισμικού και διαφόρων τύπων malware, συμπεριλαμβανομένων προγραμμάτων που μπορούν να κλέβουν στοιχεία σύνδεσης σε οικονομικούς πόρους. Το μοντέλο “pay-per-install” επιτρέπει στους ψηφιακούς εγκληματίες να κερδίσουν χρήματα πουλώντας πρόσβασης σε «μολυσμένους» υπολογιστές σε άλλους εγκληματίες, οι οποίοι στη συνέχεια εγκαθιστούν επιπλέον προγράμματα σε αυτούς.

Το Simda διανέμεται από μια σειρά μολυσμένων ιστότοπων, που ανακατευθύνουν σε κακόβουλα exploit kits. Οι επιτιθέμενοι παραβιάζουν νόμιμους ιστότοπους και servers, εισάγοντας κακόβουλο κώδικα στις σελίδες που επισκέπτονται οι χρήστες. Όταν οι χρήστες περιηγούνται σε αυτές τις σελίδες, ο κακόβουλος κώδικας «φορτώνει σιωπηλά» περιεχόμενο από τον ιστότοπο που βρίσκεται το exploit και «μολύνει» τους υπολογιστές που δεν διαθέτουν τις πιο πρόσφατες ενημερώσεις λογισμικού.

Το botnet Simda έχει εντοπιστεί σε περισσότερες από 190 χώρες, με τις ΗΠΑ, το Ηνωμένο Βασίλειο, τη Ρωσία, τον Καναδά και την Τουρκία να αποτελούν τις χώρες που έχουν επηρεαστεί περισσότερο. Το bot πιστεύεται ότι έχει «μολύνει» 770.000 υπολογιστές παγκοσμίως, με τη συντριπτική πλειοψηφία των θυμάτων του να βρίσκονται στις ΗΠΑ (πάνω από 90.000 νέες «μολύνσεις» από την αρχή του 2015).

Όντας ενεργό εδώ και χρόνια, το Simda εξελισσόταν διαρκώς, ώστε να μπορεί να εκμεταλλεύεται κάθε ευπάθεια. Μάλιστα, δημιουργούσε και διένειμε νέες και πιο δύσκολες στον εντοπισμό εκδόσεις λογισμικού ανά διαστήματα μόλις μερικών ωρών. Αυτή τη στιγμή, η «συλλογή ιών» της Kaspersky Lab περιέχει περισσότερα από 260.000 εκτελέσιμα αρχεία που ανήκουν σε διαφορετικές εκδόσεις του κακόβουλου λογισμικού Simda.

Πληροφορίες και στοιχεία συγκεντρώνονται προκειμένου να προσδιοριστούν οι φορείς πίσω από το botnet Simda, τα άτομα δηλαδή που εφάρμοσαν στις εγκληματικές τους δραστηριότητές το επιχειρηματικό μοντέλο της χρέωσης «συνεργατών» για εγκληματικές δραστηριότητες.

«Αυτή η επιτυχημένη δράση υπογραμμίζει την αξία και την ανάγκη για συνεργασίες των εθνικών και διεθνών διωκτικών αρχών και του ιδιωτικού τομέα στην καταπολέμηση της παγκόσμιας απειλής της ψηφιακής εγκληματικότητας», δήλωσε ο Sanjay Virmani, Director του INTERPOL Digital Crime Centre. «Η επιχείρηση αυτή έχει επιφέρει ένα σημαντικό πλήγμα στο botnetSimda. Η INTERPOL θα συνεχίσει να υποστηρίζει τα κράτη-μέλη της για την προστασία των πολιτών από το ψηφιακό έγκλημα και τον εντοπισμό άλλων αναδυόμενων απειλών», συμπλήρωσε.

«Τα botnet είναι γεωγραφικά κατανεμημένα δίκτυα και η καταστολή τους αποτελεί συνήθως ένα δύσκολο έργο. Αυτός είναι κι ο λόγος που η συλλογική προσπάθεια του ιδιωτικού και του δημόσιου τομέα είναι ζωτικής σημασίας. Η συμβολή όλων των εμπλεκόμενων φορέων είναι σημαντική στο κοινό αυτό έργο. Σε αυτή την περίπτωση, ο ρόλος της Kaspersky Lab ήταν να παρέχει τεχνική ανάλυση του botnet, να συλλέξει δεδομένα τηλεμετρίας μέσω του Kaspersky Security Networkκαι να παρέχει συμβουλευτική υποστήριξη σχετικά με τις στρατηγικές καταστολής», σχολίασε o Vitaly Kamluk, Principal Security Researcher της Kaspersky Lab, ο οποίος αυτή τη στιγμή συνεργάζεται με την INTERPOL, με απόσπαση από την εταιρεία.

Η επιχείρηση καταστολής πέτυχε τη διακοπή της λειτουργίας των Command & Control servers που χρησιμοποιούνταν από τους εγκληματίες για να επικοινωνούν με «μολυσμένα» μηχανήματα. Ωστόσο, είναι σημαντικό να σημειωθεί ότι ορισμένες «μολύνσεις» υφίστανται ακόμα. Προκειμένου να βοηθήσει τα θύματα να εξουδετερώσουν τη «μόλυνση» από τους υπολογιστές τους, η Kaspersky Lab έχει δημιουργήσει τον ειδικό ιστότοπο CheckIP. Εκεί, οι χρήστες μπορούν να ανακαλύψουν εάν οι IP διευθύνσεις τους έχουν εντοπιστεί από τους Command & Control servers του Simda, γεγονός που σηματοδοτεί την πιθανότητα ενεργούς ή παρελθούσας «μόλυνσης» τους. Αυτές οι IP διευθύνσεις έγιναν διαθέσιμες έπειτα από την παύση λειτουργίας των servers.

Αν η IP ενός χρήστη αναγνωριστεί, δεν σημαίνει κατανάγκη ότι ένας υπολογιστής είναι «μολυσμένος». Σε ορισμένες περιπτώσεις, μια διεύθυνση IP μπορεί να χρησιμοποιείται από διάφορους υπολογιστές στο ίδιο δίκτυο (για παράδειγμα, θα μπορούσαν να έχουν συνδεθεί με κάποιον πάροχο υπηρεσιών Internet). Ωστόσο, καλό είναι οι χρήστες να ελέγξουν και προχωρήσουν στη σάρωση του συστήματος τους με μια ολοκληρωμένη λύση ασφάλειας, όπως το δωρεάν πρόγραμμα Kaspersky Security Scan ή η δοκιμαστική έκδοση του Kaspersky Internet Security.

Για να ελέγξετε αν το σύστημά σας είναι μέρος του botnet Simda, μπορείτε να επισκεφτείτε την ηλεκτρονική διεύθυνση :https://checkip.kaspersky.com.

Περισσότερες πληροφορίες σχετικά με την εξάρθρωση του botnet Simda είναι διαθέσιμες στο Securelist.com.