Botnet Simda

Simda est un botnet menaçant dont le but principal, selon les chercheurs d'Infosec, est de fournir des logiciels malveillants supplémentaires aux ordinateurs compromis. Il s'agit d'un comportement plutôt unique pour un botnet, mais la raison la plus probable est que les personnes derrière lui ont proposé de vendre leur accès aux systèmes compromis à un seul client, garantissant que seul le logiciel malveillant du client serait présent sur le système.

Pendant la plupart du temps, il fonctionnait, le Botnet Simda avait réussi à attirer peu d'attention sur lui-même en restant principalement sous le radar de la communauté de la cybersécurité. La furtivité du botnet s'explique par ses puissantes techniques anti-analyse. Simda était capable de détecter les environnements sandbox et a continué à consommer toutes les ressources du processeur ou à envoyer une requête ping au botnet principal à propos de l'adresse IP externe du réseau du chercheur. Simda était également équipée d'un polymorphisme côté serveur.

Le vecteur d'infection pour la propagation du botnet comprenait des sites Web tiers qui utilisaient des kits d'exploitation pour diffuser le malware. L'un des aspects caractéristiques de Simda était la façon dont il modifiait le fichier d'hôtes de l'utilisateur. Alors que de nombreuses menaces de logiciels malveillants abusent du fichier des hôtes pour empêcher l'ouverture de certains sites Web, principalement les sites de fournisseurs de cybersécurité, Simda a fait en sorte que les adresses pour google-analytics.com et connect.facebook.net commencent à pointer vers des IP menaçantes Une conséquence de la manipulation des fichiers des hôtes est que les utilisateurs qui ne mettent pas à jour leur logiciel pourraient être réinfectés à nouveau à l'avenir.

Avant d'être démantelé, le Simda Botnet s'était répandu dans 190 pays à travers le monde. Une grande partie des utilisateurs d'ordinateurs compromis se trouvaient aux États-Unis et en Russie. Pour que le botnet soit démantelé, il a fallu les efforts combinés de Kaspersky, TrendMicro, du FBI, de la Police Grand-Ducale Section Nouvelles Technologies au Luxembourg, d'agents de la Dutch National High Tech Crime Unit (NHTCU), du Cyber Defense Institute et le Département de la cybercriminalité du ministère russe de l'Intérieur «K», aidé par le Bureau central national d'INTERPOL à Moscou. À la suite de l'opération, 14 serveurs de cinq pays différents - les Pays-Bas, les États-Unis, le Luxembourg, la Russie et la Pologne ont été saisis.