Telecom News - בוצע מבצע בינ"ל באבטחת מידע בתיאום האינטרפול: בלימת הבוטנט Simda

בוצע מבצע בינ"ל באבטחת מידע בתיאום האינטרפול: בלימת הבוטנט Simda

דף הבית >> חדשות אבטחה ועולם הסייבר >> בוצע מבצע בינ"ל באבטחת מידע בתיאום האינטרפול: בלימת הבוטנט Simda

בוצע מבצע בינלאומי בתחום אבטחת המידע בתיאום האינטרפול: בלימת הבוטנט Simda

מאת: מערכת Telecom News, 13.4.15, 18:03קוד זדוני
 
מבצע בינ"ל בתיאום "המרכז הגלובלי לחדשנות של האינטרפול" בסינגפור, עם חברות מעבדת קספרסקי, מיקרוסופט וטרנד מיקרו ובשיתוף מכון הגנת הסייבר של יפן וגופי אכיפת חוק באירופה ובארה"ב, פגע בפעילות Simda-רשת של מאות אלפי מחשבים נגועים בעולם. ניתן לבדוק בחינם ולקבל תשובה מיידית אם ה-IP נדבק.

בסדרה של פעולות מתואמות ב-9.4.15 נתפסו בהולנד 10 שרתי פיקוד ושליטה ושרתים נוספים הופלו בארה"ב, רוסיה, לוקסמבורג ופולין. הפעילות כללה קצינים מיחידת פשעי ההייטק הלאומית של הולנד (NHTCU), ה-FBI בארה"ב, חטיבת טכנולוגיות חדשות של משטרת לוקסמבורג ומחלקת פשעי סייבר במשרד הפנים הרוסי, עם תמיכה מהמשרד הלאומי של האינטרפול במוסקבה.
 
המבצע צפוי לפגוע משמעותית בפעילות הבוטנט. הוא יגדיל את העלות ואת הסיכון עבור עברייני הסייבר, שמעוניינים להמשיך את העסקים הלא חוקיים שלהם, וימנע ממחשבי הקורבנות לקחת חלק בתוכניות הזדוניות.
  • Simda הוא קוד זדוני מסוג "שלם על התקנה" (pay-per-install) המשמש להפצת תוכנות לא חוקיות וסוגים שונים של קוד זדוני, כולל כזה המסוגל לגנוב הרשאות לשירותים פיננסים. מודל "שלם על התקנה" מאפשר לעברייני רשת להרוויח כסף ע"י מכירת גישה למחשבים הנגועים לעבריינים אחרים, שמתקינים עליהם תוכנות נוספות.
  • Simda מופצת באמצעות מספר אתרים נגועים המפנים את הגולשים לערכות פריצה. התוקפים מטמיעים באתרים לגיטימיים קוד זדוני המוגש למבקרים באתר. כאשר משתמש גולש לדפים אלה, הקוד הזדוני טוען תוכן בצורה שקטה מהאתר הפרוץ ומדביק מחשבים, שאינם מעודכנים.
  • הבוטנט של Simda נצפה ביותר מ-190 מדינות, כשארה"ב, בריטניה, רוסיה, קנדה וטורקיה הן הנפגעות העיקריות.
  • ניתן לשער, שהבוטנט פגע ב- 770,000 מחשבים ברחבי העולם, כשרוב הקורבנות נמצאים בארה"ב (יותר מ-90 אלף הדבקות חדשות מאז תחילת 2015).
Simda פעיל במשך שנים. הוא שופר בהדרגה כדי לנצל כל פרצה, עם גרסאות חדשות, שקשה יותר לזהות, שמיוצרות ומופצות בכל מספר שעות. כרגע למשל, אוסף הווירוסים של מעבדת קספרסקי מכיל יותר מ- 260,000 קבצי הפעלה השייכים לגרסאות שונות של Simda.
 
מידע ומודיעין נאספים כעת במטרה לזהות את השחקנים שמאחורי הבוטנט Simda.
 
סנג'י וירמני, מנהל מרכז פשעי הדיגיטל של האינטרפול: "הצלחת המבצע מדגישה את החשיבות והצורך בשותפות בין גופי אכיפה לאומיים ובינלאומיים, יחד עם גופים פרטיים מהתעשייה, כדי להילחם נגד איום הפשיעה המקוון. המבצע הכה נמרצות את הבוטנט Simda. האינטרפול ימשיך בעבודתו לסייע למדינות החברות בהגנה על אזרחיהן מפני עבריינות סייבר ובזיהוי איומים חדשים".
 
ויטאלי קמלוק, חוקר אבטחה ראשי במעבדת קספרסקי, שמצוות כרגע לאינטרפול: "בוטנטים הם רשתות מבוזרות מבחינה גיאוגרפית, ובדרך כלל מדובר במשימה מאתגרת להפיל כזה דבר. זו הסיבה, שהמאמץ השיתופי של המגזר הציבורי עם הפרטי הוא חיוני כאן. כל צד מספק תרומה חשובה מצדו. במקרה זה, התפקיד של מעבדת קספרסקי היה לספק ניתוח טכני של הבוטנט, לאסוף נתוני טלמטריה של הבוטנט מתוך רשת האבטחה של קספרסקי ולייעץ בנושא אסטרטגיות הפלה".
 
כתוצאה מהפגיעה בפעילות, נסגרו שרתי הפיקוד והשליטה שהיו בשימוש ע"י העבריינים כדי לתקשר עם המחשבים הפגועים. עם זאת, חשוב לציין, שחלק מההדבקות עדיין קיימות.

במטרה לסייע לקורבנות לחטא את המחשבים שלהם, מעבדת קספרסקי יצרה אתר חינמי ,CheckIP שבו יכולים המשתמשים לבדוק ולקבל תשובה מיידית אם ה-IP שלהם נרשם בשרתי הפיקוד והשליטה של Simda, דבר המצביע על סבירות להדבקה פעילה.
 
אם משתמש זיהה את ה-IP שלו באתר, המשמעות היא לאו דווקא שהמערכת שלו הודבקה. במקרים מסויימים כתובת IP יכולה לשרת מספר מחשבים באותה הרשת (לדוגמא, אם הם מחוברים לספק אינטרנט אחד). עם זאת, מומלץ לבצע בדיקה ולסרוק את הרשת עם פתרון אבטחה מקיף למשל,  סריקת האבטחה החינמית של מעבדת קספרסקי או ע"י גרסת הניסיון של Kaspersky Internet Security.
 
SIMDA



 
 
Bookmark and Share