Simda Botnet
Simda to groźny botnet, którego głównym celem, według badaczy infosec, jest dostarczanie dodatkowego złośliwego oprogramowania na zaatakowane komputery. Jest to raczej wyjątkowe zachowanie dla botnetu, ale najbardziej prawdopodobnym powodem jest to, że osoby za nim stojące zaoferowały sprzedaż swojego dostępu do zainfekowanych systemów pojedynczemu klientowi, zapewniając, że w systemie będzie obecne tylko szkodliwe oprogramowanie klienta.
Przez większość czasu Simda Botnet zdołał przyciągnąć niewiele uwagi, pozostając przede wszystkim pod radarem społeczności cyberbezpieczeństwa. Przyczyną ukrywania się botnetu były jego potężne techniki antyanalizy. Simda był w stanie wykryć środowiska piaskownicy i zaczął zużywać wszystkie zasoby procesora lub wysyłać pingi do głównego botnetu w sprawie zewnętrznego adresu IP sieci badacza. Simda była również wyposażona w polimorfizm po stronie serwera.
Wektor infekcji służący do rozprzestrzeniania botnetu obejmował strony internetowe osób trzecich, które wykorzystywały zestawy exploitów do dostarczania złośliwego oprogramowania. Jednym z charakterystycznych aspektów Simdy był sposób, w jaki modyfikowała plik hosts użytkownika. Podczas gdy wiele zagrożeń ze strony złośliwego oprogramowania wykorzystuje plik hostów, aby blokować otwieranie niektórych witryn, głównie witryn dostawców cyberbezpieczeństwa, Simda sprawiła, że adresy google-analytics.com i connect.facebook.net zaczęły wskazywać na zagrażające adresy IP Jedna konsekwencja manipulacji plikami hostów polega na tym, że użytkownicy, którzy nie zaktualizują swojego oprogramowania, mogą w przyszłości zostać ponownie zainfekowani.
Zanim został usunięty, Simda Botnet rozprzestrzenił się w 190 krajach na całym świecie. Duża część zaatakowanych użytkowników komputerów znajdowała się w Stanach Zjednoczonych i Rosji. Demontaż botnetu wymagał połączonych wysiłków firm Kaspersky, TrendMicro, FBI, Police Grand-Ducale Section Nouvelles Technologies w Luksemburgu, funkcjonariuszy holenderskiej National High Tech Crime Unit (NHTCU), Instytutu Cyber Obrony oraz Departament ds. Cyberprzestępczości „K” rosyjskiego MSW przy wsparciu Krajowego Biura Centralnego INTERPOL-u w Moskwie. W wyniku operacji przejęto 14 serwerów z pięciu różnych krajów - Holandii, USA, Luksemburga, Rosji i Polski.
