卡巴斯基實驗室積極參與國際刑警組織全球創(chuàng)新中心協(xié)調(diào)進(jìn)行一次全球行動,與多家執(zhí)法機(jī)關(guān)共同協(xié)作,成功干擾了Simda僵尸網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。Simda僵尸網(wǎng)絡(luò)已經(jīng)活躍很多年,在全球范圍內(nèi)感染了770,000臺計算機(jī),其影響范圍超過190個國家,其中美國、英國、俄羅斯、加拿大和土耳其遭受影響最為嚴(yán)重。而且,Simda僵尸網(wǎng)絡(luò)具有極強(qiáng)的漏洞利用能力,平均每幾個小時就會出現(xiàn)難以被檢測的最新版本。目前,卡巴斯基實驗室的反病毒樣本收集庫中就包含超過260,000個屬于不同版本Simda惡意軟件的可執(zhí)行文件。
在此次行動中,卡巴斯基實驗室在荷蘭控制了10臺命令和控制服務(wù)器,此外,還在美國、俄羅斯、盧森堡和波蘭成功摧毀了若干服務(wù)器。參與此次行動的組織還包括荷蘭國家高科技罪案組(NHTCU)、美國聯(lián)邦調(diào)查局(FBI)、盧森堡Police Grand-Ducale Section Nouvelles Technologies以及俄羅斯內(nèi)務(wù)部所屬反網(wǎng)絡(luò)犯罪“K”部門(該部門得到了位于莫斯科的國際刑警組織國家中心局的支持)。
這次國際聯(lián)合行動顯著干擾了Simda僵尸網(wǎng)絡(luò)的運(yùn)轉(zhuǎn),并且增加了網(wǎng)絡(luò)罪犯仍繼續(xù)從事其非法業(yè)務(wù)的成本和風(fēng)險,同時阻止受害者計算機(jī)加入這一僵尸網(wǎng)絡(luò)。
作為一種“安裝付費(fèi)”惡意軟件,Simda僵尸網(wǎng)絡(luò)主要用以傳播非法軟件和其他類型的惡意軟件,包括能夠竊取用戶金融數(shù)據(jù)的惡意軟件。其安裝付費(fèi)模式可以讓網(wǎng)絡(luò)罪犯將受感染計算機(jī)訪問權(quán)賣給其他網(wǎng)絡(luò)罪犯,從而賺取利潤。其他網(wǎng)絡(luò)罪犯則可以在受感染計算機(jī)上安裝其他程序。
此外,Simda可通過多個受感染網(wǎng)站進(jìn)行傳播。這些網(wǎng)站會把用戶重定向到漏洞利用程序工具包。攻擊者先攻陷合法的網(wǎng)站/服務(wù)器,并在這些網(wǎng)頁上植入惡意代碼。當(dāng)有用戶訪問這些網(wǎng)頁時,惡意代碼會偷偷將漏洞利用程序網(wǎng)站內(nèi)容載入,感染用戶計算機(jī),尤其是不經(jīng)常進(jìn)行安全更新的計算機(jī)。
在談及卡巴斯基實驗室在此次行動中所扮演的角色時,卡巴斯基實驗室首席安全研究員Vitaly Kamluk表示:“僵尸網(wǎng)絡(luò)是一種地理上具有分布性的網(wǎng)絡(luò)。打擊這類威脅往往非常具有挑戰(zhàn)性。所以,私營企業(yè)和公共機(jī)構(gòu)非常有必要展開協(xié)作——參與各方都應(yīng)為聯(lián)合行動貢獻(xiàn)一份力量。在這次打擊行動中,卡巴斯基實驗室的角色是為僵尸程序提供技術(shù)分析,通過卡巴斯基安全網(wǎng)絡(luò)收集僵尸網(wǎng)絡(luò)遙測數(shù)據(jù),就打擊策略提出建議。”據(jù)了解,Vitaly Kamluk目前正被借調(diào)到國際刑警組織從事相關(guān)工作。
對于本次國際聯(lián)合行動的意義,國際刑警組織數(shù)字犯罪中心總監(jiān)Sanjay Virmani談道:“這次行動的成功凸顯出不同國家以及國際執(zhí)法機(jī)關(guān)、私營企業(yè)的合作在對抗全球網(wǎng)絡(luò)犯罪威脅中的價值和重要性。這次行動給了Simda僵尸網(wǎng)絡(luò)一記重?fù)簟H刑警組織將繼續(xù)幫助成員國保護(hù)其公民不受網(wǎng)絡(luò)犯罪的侵害,識別最新的威脅。”
目前,卡巴斯基實驗室正在收集有關(guān)Simda僵尸網(wǎng)絡(luò)的信息和情報,以便識別這一威脅幕后的操縱人員以及申請使用這種具有犯罪行為性質(zhì)的商業(yè)模式收費(fèi)合作伙伴。然而,值得注意的是,盡管干擾行動已經(jīng)切斷了網(wǎng)絡(luò)罪犯使用的命令和控制服務(wù)器同受感染計算機(jī)之間的通訊,但是有些感染仍未清除。為幫助受害者清除計算機(jī)中的感染,卡巴斯基實驗室制作了一個專門用于檢查IP地址的網(wǎng)站。通過訪問該網(wǎng)站,用戶可以檢查自己的IP地址是否被Simda的命令和控制服務(wù)器所記錄,從而確認(rèn)其是否遭受感染。這些IP地址來自于此次的僵尸網(wǎng)絡(luò)服務(wù)器打擊行動。
如果用戶的IP地址被識別,并不意味著用戶的系統(tǒng)遭受感染。因為一個IP地址可能被同一網(wǎng)絡(luò)中的多臺計算機(jī)所使用(例如,這些計算機(jī)可能連接了同一互聯(lián)網(wǎng)服務(wù)提供商)。但是,為了確保安全,卡巴斯基實驗室建議廣大用戶使用可靠的安全解決方案對系統(tǒng)進(jìn)行掃描,相關(guān)解決方案包括免費(fèi)的Kaspersky Security Scan和試用版卡巴斯基安全軟件。