Simda Botnet

Simda on uhkaava botnet, jonka päätarkoitus on infosec-tutkijoiden mukaan toimittaa ylimääräisiä haittaohjelmia vaarantuneisiin tietokoneisiin. Tämä on botnetin melko ainutlaatuinen käyttäytyminen, mutta todennäköisin syy on, että sen takana olevat ihmiset tarjosivat myydä pääsynsä vaarantuneisiin järjestelmiin yhdelle asiakkaalle varmistaen, että järjestelmässä on vain asiakkaan haittaohjelmia.

Suurimman osan ajasta, jolloin se toimi, Simda Botnet oli onnistunut houkuttelemaan vain vähän huomiota itsensä jäämiseen ensisijaisesti kyberturvallisuusyhteisön tutkan alle. Botnetin varkauden syy oli sen voimakkaat anti-analyysitekniikat. Simda pystyi havaitsemaan hiekkalaatikkoympäristöt ja jatkoi kaikkien CPU-resurssien kuluttamista tai pingotti päärobotiverkkoa tutkijan verkon ulkoisen IP-osoitteen suhteen. Simda oli myös varustettu palvelinpuolen polymorfismilla.

Tartuntavektori botnetin levittämiseen sisälsi kolmansien osapuolien verkkosivustoja, jotka käyttivät hyödyntämispaketteja haittaohjelmien toimittamiseen. Yksi Simdan ominaispiirteistä oli tapa, jolla se muutti käyttäjän isäntätiedostoa. Vaikka monet haittaohjelmat uhkaavat isäntätiedostoa estääkseen tiettyjen verkkosivustojen, enimmäkseen kyberturvallisuuden toimittajien, avaamisen, Simda teki sen niin, että google-analytics.com- ja connect.facebook.net-osoitteet alkoivat osoittaa uhkaavia IP-osoitteita Yksi seuraus Isäntien tiedostojen manipuloinnista on, että käyttäjät, jotka eivät päivitä ohjelmistojaan, saatetaan saada uudelleeninfektio tulevaisuudessa.

Ennen sen purkamista Simda Botnet oli levinnyt 190 maahan ympäri maailmaa. Suuri osa vaarantuneista tietokoneen käyttäjistä sijaitsi Yhdysvalloissa ja Venäjällä. Botnettiverkon purkamiseen tarvittiin Kaspersky, TrendMicro, FBI, Luxemburgissa sijaitsevan Poliisin Grand-Ducale-osaston Nouvelles Technologies, Alankomaiden kansallisen korkean teknologian rikollisuusyksikön (NHTCU) virkamiehet, Kyberpuolustusinstituutti ja Venäjän sisäasiainministeriön tietoverkkorikollisuudesta vastaava osasto K, jota auttoi Interpolin kansallinen keskustoimisto Moskovassa. Operaation seurauksena takavarikoitiin 14 palvelinta viidestä eri maasta - Hollannista, Yhdysvalloista, Luxemburgista, Venäjältä ja Puolasta.