Egy világméretű művelet keretében a szingapúri Interpol Global Complex for Innovation, valamint a vezető IT-cégek egy csoportja, köztük a Kaspersky Lab, a Microsoft, a Trend Micro és a japán Cyber Defense Institute a rendvédelmi szervekkel együttműködésben kiiktatta a bűnözők által üzemeltetett Simda bothálózatot, amely világszerte több ezer fertőzött PC-ből áll.
Április 9-én, csütörtökön egy sor egyidejűleg végrehajtott művelet eredményeképpen tíz parancs és vezérlő szervert foglaltak le a hatóságok Hollandiában, és további szervereket állítottak le az Egyesült Államokban, Oroszországban, Luxemburgban és Lengyelországban. Az akcióban a hollandiai Dutch National High Tech Crime Unit (NHTCU), az amerikai FBI, a luxemburgi Police Grand-Ducale Section Nouvelles Technologies, valamint az orosz Belügyminisztérium “K” kiberbűnözéssel foglalkozó, az Interpol moszkvai hivatala által támogatott osztályának munkatársai vettek részt. Az akció célja a botnet működésének jelentős megbénítása volt, melynek eredményeképpen a kiberbűnözők csak jelentős költségekkel és kockázattal tudják tovább folytatni illegális tevékenységüket, továbbá az áldozatok számítógépei nem tudnak részt venni a rosszindulatú műveletekben.
A Simda egy “pay-per-install” jellegű malware, amelyet illegális szoftverek és különféle rosszindulatú programok, többek között banki bejelentkezési információk ellopására szolgáló programkártevők terjesztésére használnak. A pay-per-install üzleti modell lehetővé teszi a kiberbűnözők számára, hogy pénzt keressenek a fertőzött PC-khez való hozzáférés más bűnözőknek való eladásából; a vevők további programokat telepítenek ezekre a számítógépekre. A Simda terjesztéséhez számos fertőzött webhelyet használnak, amelyeket a kihasználó kódhoz irányítanak át. A támadók legális webhelyeket/szervereket törnek fel, amelyeken rosszindulatú kódot helyeznek el. Amikor a felhasználók meglátogatják ezeket a weboldalakat, a rosszindulatú kód észrevétlenül tartalmat tölt be a kihasználásra készült webhelyről és megfertőzi a nem megfelelően frissített PC-t.
A Simda bothálózat jelenlétét 190 országban észlelték, és leginkább az Egyesült Államok, az Egyesült Királyság, Oroszország, Kanada és Törökország érintett. Becslések szerint a bot 770000 számítógépet fertőzött meg világszerte, az áldozatok túlnyomó része az Egyesült Államokban található (2015 eleje óta 90000 új fertőzést észleltek). Az évek óta aktív Simda olyan mértékben kifinomulttá vált, hogy bármely sérülékenységet képes kihasználni. Új, nehezebben észlelhető változatai pár óránként jelennek meg. Jelenleg a Kaspersky Lab vírusgyűjteményében a Simda malware különféle verzióihoz tartozó, több mint 260000 végrehajtható fájl található. Jelenleg folyik az információk gyűjtése annak érdekében, hogy azonosítsák a Simda bothálózat mögött álló személyeket, akik pénzért árulják más kiberbűnözőknek az általuk készített malware szolgáltatásait.
A kiiktatási akció eredményeképpen a megfertőzött számítógépekkel való kommunikációra használt parancs és vezérlő szervereket leállították. Ugyanakkor fontos megjegyezni, hogy a fertőzések egy része továbbra is fennáll. Annak érdekében, hogy segítse az áldozatokat PC-jük megtisztításában, a Kaspersky Lab létrehozott egy speciális CheckIP webhelyet. Itt ellenőrizhetik a felhasználók, hogy IP-címüket megtalálták-e a kutatók a Simda parancs és vezérlő szerverein, ami arra utalhat, hogy számítógépük jelenleg fertőzött vagy korábban az volt. Az IP címek a szerverek leállításának eredményeképpen váltak elérhetővé. Ha valakinek az IP címe érintett, ez még nem jelenti szükségszerűen azt, hogy a gépe fertőzött – egyes esetekben ugyanazt az IP címet több számítógép is használhatja ugyanabban a hálózatban. Mindenesetre ilyenkor érdemes vírusvizsgálatot végezni egy megbízható biztonsági megoldással, például az ingyenes Kaspersky Security Scan-nel vagy a Kaspersky Internet Security próbaváltozatával. Ezen az oldalon egyébként bárki leellenőrízheti, hogy a számítógépe része-e a Simda bothálózatnak.
