Simda Botnet

Simda er et truende botnet, hvis hovedformål ifølge infosec-forskere er at levere yderligere malware til de kompromitterede computere. Dette er en ret unik opførsel for et botnet, men den mest sandsynlige årsag er, at folk bag det tilbød at sælge deres adgang til kompromitterede systemer til en enkelt klient, hvilket sikrer, at kun klientens malware ville være til stede på systemet.

I det meste af tiden fungerede det, at Simda Botnet formået at tiltrække lidt opmærksomhed til sig selv, der primært var under radaren fra cybersikkerhedsfællesskabet. Årsagen bag snigingen af botnet var dens kraftige anti-analyseteknikker. Simda var i stand til at detektere sandkassemiljøer og fortsatte med at forbruge alle CPU-ressourcer eller pinge hoved botnet om den eksterne IP-adresse på forskerens netværk. Simda var også udstyret med polymorfisme på serversiden.

Infektionsvektoren til spredning af botnet omfattede tredjepartswebsteder, der benyttede udnyttelsessæt til at levere malware. Et af de karakteristiske aspekter ved Simda var den måde, hvorpå den ændrede brugerens værtsfil. Mens mange malware-trusler misbruger værtsfilen til at blokere for åbning af bestemte websteder, for det meste websteder for cybersikkerhedsleverandører, gjorde Simda det, så adresserne til google-analytics.com og connect.facebook.net begyndte at pege på truende IP'er En konsekvens af værtenes filmanipulation er, at brugere, der ikke opdaterer deres software, kunne blive inficeret igen i fremtiden.

Før det blev taget ned, havde Simda Botnet spredt sig over 190 lande over hele verden. En stor del af de kompromitterede computerbrugere var placeret i USA og Rusland. For at nedbryde botnet krævede Kaspersky, TrendMicro, FBI, Police Grand-Ducale Section Nouvelles Technologies i Luxembourg, officerer fra den hollandske National High Tech Crime Unit (NHTCU), Cyber Defense Institute og det russiske indenrigsministeriums cyberkriminalitetsafdeling 'K' hjulpet af INTERPOL National Central Bureau i Moskva. Som en konsekvens af operationen blev der beslaglagt 14 servere fra fem forskellige lande - Holland, USA, Luxembourg, Rusland og Polen.