Botnet Simda
Simda è una botnet minacciosa il cui scopo principale, secondo i ricercatori di infosec, è fornire malware aggiuntivo ai computer compromessi. Questo è un comportamento piuttosto unico per una botnet, ma la ragione più probabile è che le persone dietro di essa si sono offerte di vendere il loro accesso a sistemi compromessi a un singolo client, assicurando che sul sistema fosse presente solo il malware del client.
Per la maggior parte del tempo in cui ha funzionato, la botnet Simda è riuscita ad attirare poca attenzione su se stessa rimanendo principalmente sotto il radar della comunità della sicurezza informatica. La ragione dietro la furtività della botnet erano le sue potenti tecniche anti-analisi. Simda è stata in grado di rilevare gli ambienti sandbox e ha iniziato a consumare tutte le risorse della CPU o a eseguire il ping della botnet principale sull'indirizzo IP esterno della rete del ricercatore. Simda era inoltre dotato di polimorfismo lato server.
Il vettore di infezione per la diffusione della botnet includeva siti Web di terze parti che utilizzavano kit di exploit per distribuire il malware. Uno degli aspetti caratteristici di Simda era il modo in cui modificava il file hosts dell'utente. Mentre molte minacce malware abusano del file degli host per bloccare l'apertura di determinati siti Web, principalmente i siti di fornitori di sicurezza informatica, Simda ha fatto in modo che gli indirizzi di google-analytics.com e connect.facebook.net iniziassero a indicare IP minacciosi Una conseguenza della manipolazione dei file degli host è che gli utenti che non aggiornano il loro software potrebbero essere nuovamente infettati in futuro.
Prima di essere rimosso, la botnet Simda si era diffusa in 190 paesi in tutto il mondo. Una grossa fetta degli utenti di computer compromessi si trovava negli Stati Uniti e in Russia. Per lo smantellamento della botnet, sono stati necessari gli sforzi congiunti di Kaspersky, TrendMicro, l'FBI, la sezione di polizia granducale Nouvelles Technologies in Lussemburgo, gli ufficiali della National High Tech Crime Unit (NHTCU) olandese, il Cyber Defense Institute e il dipartimento per la criminalità informatica del Ministero dell'Interno russo "K" aiutato dall'ufficio centrale nazionale dell'INTERPOL a Mosca. Come conseguenza dell'operazione, sono stati sequestrati 14 server di cinque paesi diversi: Paesi Bassi, Stati Uniti, Lussemburgo, Russia e Polonia.
