20 апреля 2015

Ботнет Simda: скрытный вредоносный «официант»

Бизнес

Своеобразный ботнет под кодовым названием Simda был выведен из строя в ходе совместной операции ряда правоохранительных органов и коммерческих организаций. Под руководством Интерпола в операции был задействован широкий круг участников, включая TrendMicro, Cyber Defense Institute, офицеры Национального управления Нидерландов по борьбе с преступностью в сфере высоких технологий (NHTCU), ФБР, подразделение по борьбе с высокотехнологичными преступлениями полиции Великого герцогства Люксембургского и отдел «К» по борьбе с киберпреступлениями российского МВД.

14 контрольных серверов в Нидерландах, США, Люксембурге, Польше и России были перехвачены одновременно. Предварительный анализ некоторых добытых серверных логов выявил перечень из 190 стран, пострадавших от ботнета Simda.

Сам ботнет заставил экспертов попотеть. Несмотря на свои очевидно довольно крупные размеры (до 770 тысяч инфицированных компьютеров), ботнет был ещё и довольно скрытным и неуловимым. Он редко появлялся на «радарах», по-видимому, из-за своей способности обнаруживать средства безопасности, а также эмуляцию и виртуальные машины. Вдобавок, на стороне сервера был выявлен полиморфизм, а также ограниченный срок службы ботов.

Последнее особенно интересно. Основное назначение Simda, кажется, заключалось в распределении прочих вредоносных программ по определённым машинам.

«Данная криминальная бизнес-модель раскрывает возможность эксклюзивного распространения вредоносного ПО. Это означает, что дистрибьюторы могут гарантировать, что только вредоносные программы клиента устанавливаются на зараженных машинах», — пишет Виталий Камлюк на Securelist.

Simda способна отключаться через некоторое время, и это означает, что Simda действует как своего рода «официант» — приходит, «подаёт» вредоносные программы и тихо удаляется.

Боты Simda распространялись рядом зараженных веб-сайтов, которые перенаправляли трафик к наборам эксплойтов. Они также загружали и запускали дополнительные компоненты с собственных серверов обновлений и могли модифицировать файл хост-системы. Однажды зараженные машины могут продолжать посылать HTTP-запросы вредоносным серверам, сигнализируя о том, что они по-прежнему уязвимы для повторного заражения тем же набором эксплойтов.

«Преступники могли использовать одни и те же эксплойты для повторного заражения машин и очередной их перепродажи, возможно, даже «эксклюзивно» первоначальному клиенту», — пишет Камлюк.

Неуловимость и явное «коммерческое» назначение ботнета показывают, что киберпреступники научились извлекать уроки из ошибок и как следует постарались, чтобы сделать свои операции скрытными, насколько это возможно.

Хотя и не вполне преуспели на этот раз: ботнет всё равно отключили, правда, лишь после того, как он заразил сонмы машин и подстегнул ведущих мировых разработчиков программного обеспечения и инструментов безопасности к совместным с правоохранителями действиям.

Благодаря sinkhole-операции и обмену данными между партнерами был организован ряд проверочных ресурсов, чтобы пользователи могли протестировать свои IP на возможную связь с Simda когда угодно в прошлом. Кликните на изображение ниже, чтобы проверить, были ли вы инфицированы.

check

Более подробный отчет по данной теме доступен на Securelist. Дополнительная техническая информация о ботнете и его демонтаже можно найти в пресс-релизе Интерпола и в блоге Technet компании Microsoft.