Simda
Как мы уже сообщали ранее, ряд вендоров решений безопасности, в том числе «Лаборатория Касперского», совместно с правоохранительными органами во главе с Интерполом успешно повалили крупный ботнет, за все страдания удостоившийся наименования Simda. При всей своей особенности Simda является хорошим примером того, почему кибербезопасность — это дело каждого. Давайте теперь подробнее разберёмся.
Post—mortem
Simda был весьма таинственным ботнетом, который использовали для распространения стороннего, потенциально нежелательного и вредоносного программного обеспечения. Он имеет встроенные инструменты для обнаружения и обхода эмуляторов, виртуальных машин и средств обеспечения безопасности, что эффективно позволяет боту оставаться вне поля зрения, вероятно, в течение многих лет.
На смерть #Simda, или Почему #security — дело каждого
Tweet
Simda постоянно натаскивался на любую уязвимость, а новые, ещё более сложные для обнаружения его версии генерировались и распространялись каждые несколько часов. На момент демонтажа в вирусной коллекции «Лаборатории Касперского» насчитывалось свыше 260 000 исполняемых файлов, принадлежащих разным версиям вредоносной программы Simda. Давайте ещё раз это повторим: существуют 260 тысяч исполняемых файлов, относящихся к различным версиям одного и того же вредоносного программного комплекса.
Предварительный анализ некоторых из скачанных серверных логов дал список из 190 стран, пострадавших от ботнета Simda, при более 700 000 инфицированных компьютеров. Целых 14 серверов контрольных серверов были изъяты одновременно в Нидерландах, США, Люксембурге, Польше и России, что фактически стало концом этого ботнета, после чего последовал вал победных пресс-релизов от участников операции. И для такой помпы повод был подходящий.
Следующий шаг
О том, что вредоносный софт эволюционирует, говорили и повторяли уже столько раз, что каждое новое заявление о «следующем шаге» и «следующем поколении» привлекает к себе внимания меньше, чем предыдущие, — по крайней мере, внимания широкой общественности.
Но только не экспертов по безопасности. Simda был примечательным по ряду причин.
Во-первых, он умудрялся ускользать от радаров тревожно долго, если учитывать, что это не четко нацеленная APT, атаки которых, как правило, малочисленны и редки, а большой ботнет, от которого пострадали сотни тысяч систем. Несмотря на это, он оставался почти невидимым до недавнего времени.
Во-вторых, выделяет его само предназначение. Simda был на самом деле своеобразной платформой для распространения. Представьте себе Steam, только для вредоносных программ, хоть пользователи сами и не заказывали вредоносное и нежелательное программное обеспечение для своих устройств. По команде преступников он мог установить определенную вредоносную программу на конкретных компьютерах, а операторам Simda платили за каждую успешную инсталляцию.
А пострадавшие пользователи были, скорее всего, в совершенном неведении о «клиенте» Simda в своих машинах, который подбрасывал им трояны и прочий зловредный код. Некоторые жертвы, вероятно, до сих пор ни о чём не подозревают.
Кстати, вендоры защитных решений запустили онлайновые утилиты наподобие этой, чтобы пользователи могли проверить свои IP-адреса по таблице известных жертв Simda. Посмотрите, если вы еще этого не сделали.
Разумно предположить, что идея ботнета, выступающего в качестве платформы направленного распространения вредоносных программ, будет «воплощена повторно» в ближайшее время, и со временем появится больше подобных сервисов. На самом деле, Simda не использовал чего-то слишком особенного и не так уж маскировался при распространении: несколько зараженных сайтов перенаправляли пользователей к наборам эксплойтов с хорошо понятными последствиями. Многоступенчатая атака, но ничего такого сложного по стандартам наших дней.
Тем не менее, более 700 тысяч ПК заразились.
#Simda прятался годами, несмотря на свои размеры
Tweet
Хороший пример коллективной ответственности
Simda сам по себе иллюстрирует простой и доходчивый факт: кибербезопасность является делом каждого. Наборы эксплойтов, которые Simda использует, атакуют много давным-давно известных уязвимостей в программном обеспечении ПК, и его успех показывает, что пользователи не смогли заткнуть дыры — то есть обновить уязвимое программное обеспечение.
Как говорится в этой статье на Securelist, сложилась нелогичная ситуация с безопасностью. Достижения в сфере безопасности «по умолчанию» (в Windows и самых популярных браузерах) на самом деле работают «против себя», так как пользователи не чувствуют нужды в дополнительных мерах безопасности и начинают пренебрегать даже азбучными правилами. Например, отключают отдельные компоненты антивирусных продуктов или вообще работают без антивируса.
Суть вопроса в том, что, позволяя вредоносным программам попасть в наши машины — в домашние ПК и/или корпоративные терминалы, — мы не только становимся жертвами, но и «наращиваем» угрозу для других пользователей. Все эти ботнеты не могли бы существовать, если бы пользователи действительно массово заботились о своей безопасности. Но и в этом Simda стоит особняком.
Как мы знаем, Simda был своего рода «официантом», разносившим вредоносные программы. Представьте себе следующий сценарий: сотрудник компании ошибается и впускает бота Simda. Последний, в свою очередь, загружает какие-нибудь трояны или шифраторы-вымогатели, которые быстро распространяются по всей корпоративной сети, и вот уже запущена цепная реакция, способная нанести огромный ущерб.
Это последнее, что ИТ-специалисты предприятия хотели бы увидеть. Конечно, во избежание такого следует иметь надёжное антивредоносное/защитное решение, которое работает у каждого сотрудника на компьютере, на мобильном устройстве и в виртуальной инфраструктуре тоже. Simda сторонился виртуальных машин, но это ещё не означает, что его будущий наследник станет поступать так же.
Кроме того, работники должны быть обучены и подготовлены, для того чтобы не допускать ошибок, ведущих к заражению себя и других. При этом обучение должно быть непрерывным процессом, а не разовым событием. Слишком многое поставлено на карту, чтобы такое игнорировать.
