Simda Botnet
Simda is een bedreigend botnet waarvan het belangrijkste doel, volgens de onderzoekers van Infosec, is om extra malware naar de besmette computers te brengen. Dit is een vrij uniek gedrag voor een botnet, maar de meest waarschijnlijke reden is dat de mensen erachter aanboden om hun toegang tot gecompromitteerde systemen aan een enkele client te verkopen, zodat alleen de malware van de client op het systeem aanwezig zou zijn.
Voor het grootste deel van de tijd dat het werkte, was het Simda Botnet erin geslaagd om weinig aandacht te trekken en bleef het voornamelijk onder de radar van de cybersecurity-gemeenschap. De reden achter de heimelijkheid van het botnet waren de krachtige anti-analysetechnieken. Simda was in staat sandbox-omgevingen te detecteren en ging verder met het verbruiken van alle CPU-bronnen of het pingen van het hoofdbotnet over het externe IP-adres van het netwerk van de onderzoeker. Simda was ook uitgerust met server-side polymorfisme.
De infectievector voor de verspreiding van het botnet omvatte websites van derden die exploitkits gebruikten om de malware af te leveren. Een van de karakteristieke aspecten van Simda was de manier waarop het het hosts-bestand van de gebruiker aanpaste. Hoewel veel malwarebedreigingen het bestand van de hosts misbruiken om te voorkomen dat bepaalde websites worden geopend, meestal de sites van cyberbeveiligingsleveranciers, zorgde Simda ervoor dat de adressen voor google-analytics.com en connect.facebook.net naar bedreigende IP-adressen begonnen te wijzen. van de bestandsmanipulatie van de hosts is dat gebruikers die hun software niet updaten, in de toekomst opnieuw geïnfecteerd kunnen raken.
Voordat het werd verwijderd, had het Simda Botnet zich over 190 landen over de hele wereld verspreid. Een groot deel van de gecompromitteerde computergebruikers bevond zich in de VS en Rusland. Om het botnet te ontmantelen, waren de gezamenlijke inspanningen nodig van Kaspersky, TrendMicro, de FBI, de politie Grand-Ducale Section Nouvelles Technologies in Luxemburg, officieren van de Nederlandse National High Tech Crime Unit (NHTCU), het Cyber Defence Institute en de afdeling cybercriminaliteit 'K' van het Russische ministerie van Binnenlandse Zaken, geholpen door het nationale centrale bureau van INTERPOL in Moskou. Als gevolg van de operatie werden 14 servers uit vijf verschillende landen - Nederland, de VS, Luxemburg, Rusland en Polen - in beslag genomen.
