מעבדת קספרסקי מאחדת כוחות עם האינטרפול, גופי אכיפת חוק ושותפים לבלימת הבוטנט Simda

לבלימת הבוטנט Simda
מבצע בינלאומי בתיאום  "המרכז הגלובלי לחדשנות של האינטרפול" בסינגפור, עם קבוצה של חברות IT מובילות הכוללות את מעבדת קספרסקי, מיקרוסופט וטרנד מיקרו, ובשיתוף מכון הגנת הסייבר של יפן וגופי אכיפת חוק בעולם, פגע קשות בפעילות הבוטנט העברייני Simda – רשת של אלפי מחשבים נגועים ברחבי העולם.

בסדרה של פעולות מתואמות, ביום חמישי ה- 9 באפריל, נתפסו בהולנד 10 שרתי פיקוד ושליטה , ושרתים נוספים הופלו בארה"ב, רוסיה, לוקסמבורג ופולין. הפעילות כללה קצינים מיחידת פשעי ההיי טק הלאומית של הולנד (NHTCU), ה- FBI בארה"ב, חטיבת טכנולוגיות חדשות של משטרת לוקסמבורג ומחלקת פשעי סייבר במשרד הפנים הרוסי, עם תמיכה מהמשרד הלאומי של האינטרפול במוסקבה.

 

המבצע צפוי לפגוע משמעותית בפעילות הבוטנט. הוא יגדיל את העלות ואת הסיכון עבור עברייני הסייבר שמעוניינים להמשיך את העסקים הלא חוקיים שלהם, וימנע ממחשבי הקורבנות לקחת חלק בתוכניות הזדוניות.

 

Simda הוא קוד זדוני מסוג "שלם על התקנה" (pay-per-install) המשמש להפצת תוכנות לא חוקיות וסוגים שונים של קוד זדוני, כולל כזה המסוגל לגנוב הרשאות לשירותים פיננסים. מודל "שלם על התקנה" מאפשר לעברייני הרשת להרוויח כסף באמצעות מכירת גישה למחשבים הנגועים לעבריינים אחרים אשר מתקינים עליהם תוכנות נוספות.
Simda מופצת באמצעות מספר אתרים נגועים המפנים את הגולשים לערכות פריצה. התוקפים מטמיעים באתרים לגיטימיים קוד זדוני המוגש למבקרים באתר. כאשר משתמש גולש לדפים אלה, הקוד הזדוני טוען תוכן בצורה שקטה מהאתר הפרוץ, ומדביק מחשבים שאינם מעודכנים.
הבוטנט של Simda נצפה ביותר מ- 190 מדינות, כשארה"ב, בריטניה, רוסיה, קנדה וטורקיה הן הנפגעות העיקריות.
ניתן לשער כי הבוטנט פגע ב- 770,000 מחשבים ברחבי העולם, כשרוב הקורבנות נמצאים בארה"ב (יותר מ- 90 אלף הדבקות חדשות מאז תחילת 2015).
Simda פעיל במשך שנים. הוא שופר בהדרגה כדי לנצל כל פירצה, עם גרסאות חדשות, שקשה יותר לזהות, המיוצרות ומופצות בכל מספר שעות. כרגע, אוסף הוירוסים של מעבדת קספרסקי מכיל יותר מ- 260,000 קבצי הפעלה השייכים לגרסאות שונות של Simda.
מידע ומודיעין נאספים כעת במטרה לזהות את השחקנים שמאחורי הבוטנט Simda.

 

"הצלחת המבצע מדגישה את החשיבות והצורך בשותפות בין גופי אכיפה לאומיים ובינלאומיים, יחד עם גופים פרטיים מהתעשייה, כדי להילחם נגד איום הפשיעה המקוון", אמר סנג'י וירמני, מנהל מרכז פשעי הדיגיטל של האינטרפול. "המבצע הכה נמרצות את הבוטנט Simda. האינטרפול ימשיך בעבודתו לסייע למדינות החברות בהגנה על אזרחיהן מפני עבריינות סייבר ובזיהוי איומים חדשים".

 

"בוטנטים הם רשתות מבוזרות מבחינה גיאוגרפית, ובדרך כלל מדובר במשימה מאתגרת להפיל כזה דבר. זו הסיבה שהמאמץ השיתופי של המגזר הציבורי עם הפרטי הוא חיוני כאן – כל צד מספק תרומה חשובה מצדו. במקרה זה, התפקיד של מעבדת קספרסקי היה לספק ניתוח טכני של הבוטנט, לאסוף נתוני טלמטריה של הבוטנט מתוך רשת האבטחה של קספרסקי ולייעץ בנושא אסטרטגיות הפלה", אמר ויטאלי קמלוק, חוקר אבטחה ראשי במעבדת קספרסקי, המצוות כרגע לאינטרפול.

 

כתוצאה מהפגיעה בפעילות, נסגרו שרתי הפיקוד והשליטה שהיו בשימוש על ידי העבריינים כדי לתקשר עם המחשבים הפגועים. עם זאת, חשוב לציין כי חלק מההדבקות עדיין קיימות. במטרה לסייע לקורבנות לחטא את המחשבים שלהם, מעבדת קספרסקי יצרה אתר CheckIPשבו יכולים המשתמשים לבדוק אם ה- IP שלהם נרשם בשרתי הפיקוד והשליטה של Simda, דבר המצביע על סבירות להדבקה פעילה.

 

אם משתמש זיהה את ה- IP שלו באתר, המשמעות היא לאו דווקא שהמערכת שלו הודבקה – במקרים מסויימים כתובת IP יכולה לשרת מספר מחשבים באותה הרשת (לדוגמא, אם הם מחוברים לספק אינטרנט אחד). עם זאת, מומלץ לבצע בדיקה ולסרוק את הרשת עם פתרון אבטחה מקיף, כגון סריקת האבטחה החינמית של מעבדת קספרסקי – או באמצעות גרסת הניסיון של Kaspersky Internet Security.

 

מידע נוסף על Simda ניתן למצוא ב-Securelist.com

 

דילוג לתוכן