Simda Botnet
Simda ist ein bedrohliches Botnetz, dessen Hauptzweck laut Infosec-Forschern darin besteht, den gefährdeten Computern zusätzliche Malware bereitzustellen. Dies ist ein ziemlich einzigartiges Verhalten für ein Botnetz, aber der wahrscheinlichste Grund ist, dass die dahinter stehenden Personen angeboten haben, ihren Zugriff auf gefährdete Systeme an einen einzelnen Client zu verkaufen, um sicherzustellen, dass nur die Malware des Clients auf dem System vorhanden ist.
Während der meisten Zeit, in der es funktionierte, war es dem Simda Botnet gelungen, wenig Aufmerksamkeit auf sich zu ziehen und in erster Linie unter dem Radar der Cybersecurity-Community zu bleiben. Der Grund für die Verstohlenheit des Botnetzes waren seine leistungsstarken Anti-Analyse-Techniken. Simda war in der Lage, Sandbox-Umgebungen zu erkennen und verbrauchte alle CPU-Ressourcen oder pingte das Hauptbotnetz über die externe IP-Adresse des Netzwerks des Forschers. Simda war auch mit serverseitigem Polymorphismus ausgestattet.
Der Infektionsvektor für die Verbreitung des Botnetzes umfasste Websites von Drittanbietern, die Exploit-Kits zur Bereitstellung der Malware verwendeten. Einer der charakteristischen Aspekte von Simda war die Art und Weise, wie die Hosts-Datei des Benutzers geändert wurde. Während viele Malware-Bedrohungen die Hosts-Datei missbrauchen, um das Öffnen bestimmter Websites zu verhindern, hauptsächlich der Websites von Cybersicherheitsanbietern, hat Simda dies so gemacht, dass die Adressen für google-analytics.com und connect.facebook.net auf bedrohliche IPs hinweisen. Als Konsequenz bei der Dateimanipulation der Hosts können Benutzer, die ihre Software nicht aktualisieren, in Zukunft erneut infiziert werden.
Vor dem Abbau hatte sich das Simda Botnet in 190 Ländern weltweit verbreitet. Ein großer Teil der kompromittierten Computerbenutzer befand sich in den USA und in Russland. Für den Abbau des Botnetzes waren die gemeinsamen Anstrengungen notwendig von Kaspersky, TrendMicro, dem FBI, der Polizei-Grand-Ducale-Abteilung Nouvelles Technologies in Luxemburg, Beamten der niederländischen Nationalen High-Tech-Kriminalitätsabteilung (NHTCU), des Cyber Defense Institute und von das Cybercrime Department 'K' des russischen Innenministeriums, unterstützt vom INTERPOL National Central Bureau in Moskau. Infolge der Operation wurden 14 Server aus fünf verschiedenen Ländern - den Niederlanden, den USA, Luxemburg, Russland und Polen - beschlagnahmt.
