Simda Botnet

Simda Botnet Opis

Simda je prijeteća botnet čija je glavna svrha, prema istraživačima infosec-a, isporučivanje dodatnog zlonamjernog softvera na ugrožena računala. Ovo je prilično jedinstveno ponašanje botneta, ali najvjerojatniji razlog je taj što su ljudi koji stoje iza njega ponudili da svoj pristup ugroženim sustavima prodaju jednom klijentu, osiguravajući da u njemu bude prisutan samo zlonamjerni softver klijenta.

Većinu vremena dok je radila, Simda Botnet uspijevala je privući malo pozornosti na sebe ostajući primarno pod radarom zajednice za cyber sigurnost. Razlog skrivenosti botneta bile su njegove moćne tehnike anti-analize. Simda je bila sposobna otkriti okruženja s pješčanikom i nastavila je trošiti sve CPU resurse ili pingati glavnu botnet o vanjskoj IP adresi mreže istraživača. Simda je također bila opremljena polimorfizmom na strani poslužitelja.

Vektor zaraze za širenje botneta uključivao je web stranice trećih strana koje su koristile eksploatacijske pakete za isporuku zlonamjernog softvera. Jedan od karakterističnih aspekata Simde bio je način na koji je modificirao korisničku datoteku domaćina. Iako mnoge prijetnje zlonamjernim softverom zloupotrebljavaju datoteku hostova da bi spriječile otvaranje određenih web stranica, uglavnom web lokacija dobavljača kibernetske sigurnosti, Simda je to napravila tako da su adrese za google-analytics.com i connect.facebook.net počele ukazivati na prijeteće IP adrese Jedna posljedica Manipulacija datotekama domaćina je da korisnici koji ne ažuriraju svoj softver mogu u budućnosti ponovno biti zaraženi.

Prije nego što je uklonjena, Simda Botnet proširila se u 190 zemalja svijeta. Veliki dio kompromitiranih korisnika računala nalazio se u SAD-u i Rusiji. Da bi se botnet demontirao, bili su potrebni zajednički napori Kasperskyja, TrendMicro-a, FBI-a, policijskog odjeljenja Grand-Ducale Nouvelles Technologies u Luksemburgu, časnika iz nizozemske Nacionalne jedinice za visoku tehnologiju kriminala (NHTCU), Instituta za cyber obranu i rusko Ministarstvo unutarnjih poslova Odjela za kibernetički kriminal 'K' pomoglo je Nacionalni središnji ured INTERPOL-a u Moskvi. Kao posljedica operacije zaplijenjeno je 14 poslužitelja iz pet različitih zemalja - Nizozemske, SAD-a, Luksemburga, Rusije i Poljske.