RC_Andreas
Administrator
Κορυφαίες εταιρείες του κλάδου της πληροφορικής ένωσαν τις δυνάμεις τους με τις διωκτικές αρχές στην προσπάθεια να αναστείλουν τη λειτουργία του εγκληματικού botnet Simda.
Την επιχείρηση συντονίζει το Global Complex for Innovation της INTERPOL στη Σιγκαπούρη και συμμετείχαν εταιρείες όπως η Kaspersky Lab, η Microsoft, η Trend Micro, το Ινστιτούτο Ψηφιακής Άμυνας της Ιαπωνίας, σε συνεργασία με διάφορες διωκτικές αρχές.
Το εγκληματικό botnet Simda, αποτελείται από ένα δίκτυο χιλιάδων «μολυσμένων» υπολογιστών σε όλο τον κόσμο. Με μια σειρά ταυτόχρονων δράσεων την Πέμπτη 9 Απριλίου, κατασχέθηκαν 10 Command & Control servers στην Ολλανδία, ενώ διακόπηκε και η λειτουργία αντίστοιχων servers στις ΗΠΑ, τη Ρωσία, το Λουξεμβούργο και την Πολωνία.
Στην επιχείρηση συμμετείχαν το Σώμα Αντιμετώπισης Τεχνολογικού Εγκλήματος της Ολλανδικής Αστυνομίας (NHTCU), το Ομοσπονδιακό Γραφείο Ερευνών (FBI) των ΗΠΑ, το Τμήμα Νέων Τεχνολογιών της Αστυνομίας του Λουξεμβούργου και ο Τομέας ?K? του Τμήματος Ψηφιακού Εγκλήματος του Ρωσικού Υπουργείου Εσωτερικών, με την υποστήριξη του Κεντρικού Εθνικού Γραφείου της INTERPOL στη Μόσχα.
Η εξέλιξη αυτή αναμένεται να διαταράξει σημαντικά τη λειτουργία του botnet. Επίσης, θα αυξήσει το κόστος και τον κίνδυνο για τους ψηφιακούς εγκληματίες που σκοπεύουν να συνεχίσουν τις παράνομες δραστηριότητες τους, ενώ θα προλάβει και τη συμμετοχή των υπολογιστών των θυμάτων σε κακόβουλες ενέργειες.
Τι είναι το Simda
Το Simda είναι ένα ?pay-per-install? κακόβουλο λογισμικό που χρησιμοποιείται για τη διανομή παράνομου λογισμικού και διαφόρων τύπων malware, συμπεριλαμβανομένων προγραμμάτων που μπορούν να κλέβουν στοιχεία σύνδεσης σε οικονομικούς πόρους. Το μοντέλο ?pay-per-install? επιτρέπει στους ψηφιακούς εγκληματίες να κερδίσουν χρήματα πουλώντας πρόσβασης σε «μολυσμένους» υπολογιστές σε άλλους εγκληματίες, οι οποίοι στη συνέχεια εγκαθιστούν επιπλέον προγράμματα σε αυτούς.
Το Simda διανέμεται από μια σειρά μολυσμένων ιστότοπων, που ανακατευθύνουν σε κακόβουλα exploit kits. Οι επιτιθέμενοι παραβιάζουν νόμιμους ιστότοπους και servers, εισάγοντας κακόβουλο κώδικα στις σελίδες που επισκέπτονται οι χρήστες. Όταν οι χρήστες περιηγούνται σε αυτές τις σελίδες, ο κακόβουλος κώδικας «φορτώνει σιωπηλά» περιεχόμενο από τον ιστότοπο που βρίσκεται το exploit και «μολύνει» τους υπολογιστές που δεν διαθέτουν τις πιο πρόσφατες ενημερώσεις λογισμικού.
Το botnet Simda έχει εντοπιστεί σε περισσότερες από 190 χώρες, με τις ΗΠΑ, το Ηνωμένο Βασίλειο, τη Ρωσία, τον Καναδά και την Τουρκία να αποτελούν τις χώρες που έχουν επηρεαστεί περισσότερο. Το bot πιστεύεται ότι έχει «μολύνει» 770.000 υπολογιστές παγκοσμίως, με τη συντριπτική πλειοψηφία των θυμάτων του να βρίσκονται στις ΗΠΑ (πάνω από 90.000 νέες «μολύνσεις» από την αρχή του 2015).
Όντας ενεργό εδώ και χρόνια, το Simda εξελισσόταν διαρκώς, ώστε να μπορεί να εκμεταλλεύεται κάθε ευπάθεια. Μάλιστα, δημιουργούσε και διένειμε νέες και πιο δύσκολες στον εντοπισμό εκδόσεις λογισμικού ανά διαστήματα μόλις μερικών ωρών. Αυτή τη στιγμή, η «συλλογή ιών» της Kaspersky Lab περιέχει περισσότερα από 260.000 εκτελέσιμα αρχεία που ανήκουν σε διαφορετικές εκδόσεις του κακόβουλου λογισμικού Simda.
Πληροφορίες και στοιχεία συγκεντρώνονται προκειμένου να προσδιοριστούν οι φορείς πίσω από το botnet Simda, τα άτομα δηλαδή που εφάρμοσαν στις εγκληματικές τους δραστηριότητές το επιχειρηματικό μοντέλο της χρέωσης «συνεργατών» για εγκληματικές δραστηριότητες.
Η επιχείρηση καταστολής πέτυχε τη διακοπή της λειτουργίας των Command & Control servers που χρησιμοποιούνταν από τους εγκληματίες για να επικοινωνούν με «μολυσμένα» μηχανήματα. Ωστόσο, είναι σημαντικό να σημειωθεί ότι ορισμένες «μολύνσεις» υφίστανται ακόμα.
Προκειμένου να βοηθήσει τα θύματα να εξουδετερώσουν τη «μόλυνση» από τους υπολογιστές τους, η Kaspersky Lab έχει δημιουργήσει τον ειδικό ιστότοπο CheckIP. Εκεί, οι χρήστες μπορούν να ανακαλύψουν εάν οι IP διευθύνσεις τους έχουν εντοπιστεί από τους Command & Control servers του Simda, γεγονός που σηματοδοτεί την πιθανότητα ενεργούς ή παρελθούσας «μόλυνσης» τους. Αυτές οι IP διευθύνσεις έγιναν διαθέσιμες έπειτα από την παύση λειτουργίας των servers.
Αν η IP ενός χρήστη αναγνωριστεί, δεν σημαίνει κατ’ανάγκη ότι ένας υπολογιστής είναι «μολυσμένος». Σε ορισμένες περιπτώσεις, μια διεύθυνση IP μπορεί να χρησιμοποιείται από διάφορους υπολογιστές στο ίδιο δίκτυο (για παράδειγμα, θα μπορούσαν να έχουν συνδεθεί με κάποιον πάροχο υπηρεσιών Internet). Ωστόσο, καλό είναι οι χρήστες να ελέγξουν και προχωρήσουν στη σάρωση του συστήματος τους με μια ολοκληρωμένη λύση ασφάλειας, όπως το δωρεάν πρόγραμμα Kaspersky Security Scan ή η δοκιμαστική έκδοση του Kaspersky Internet Security.
Για να ελέγξετε αν το σύστημά σας είναι μέρος του botnet Simda, μπορείτε να επισκεφτείτε την ηλεκτρονική διεύθυνση :https://checkip.kaspersky.com.
[Δ.Τ. Kaspersky]