返回新闻列表

卡巴斯基实验室携手国际刑警组织、业内合作伙伴和执法机关共同对抗Simda僵尸网络

        在新加坡的国际刑警组织全球创新中心协调进行一次全球行动中,多家领先的IT企业,包括卡巴斯基实验室、微软公司、趋势科技及日本Cyber Defense Institute同执法机关共同协作,干扰Simda僵尸网络的正常运转。Simda僵尸网络在全球范围内已经感染了数万台计算机。

       在4月9日(星期四)进行的一系列同步行动中,我们在荷兰控制了10台命令和控制服务器。此外,还在美国、俄罗斯、卢森堡和波兰打掉了一些服务器。这次行动的参与方包括荷兰国家高科技罪案组(NHTCU)、美国联邦调查局(FBI)、卢森堡Police Grand-Ducale Section Nouvelles Technologies以及俄罗斯内务部所属反网络犯罪“K ”部门(这一部门得到了位于莫斯科国际刑警组织国家中心局的支持)。

       这次行动将显著干扰这一僵尸网络的运转。如果网络罪犯仍然要进行其非法业务,将会增加成本和风险,同时还能够阻止受害者计算机加入这一僵尸网络。

  • Simda是一种“安装付费”恶意软件,主要用来传播非法软件和其他类型的恶意软件,包括能够窃取用户金融数据的恶意软件。其安装付费模式,可以让网络罪犯将受感染计算机访问权卖给其他网络罪犯,从而赚取利润。其他网络罪犯则可以在受感染计算机上安装其他程序。
  • Simda通过多个受感染网站进行传播,这些网站会把用户重定向到漏洞利用程序工具包。攻击者先攻陷合法的网站/服务器,并在这些网页上植入恶意代码。当有用户访问这些网页时,恶意代码会偷偷将漏洞利用程序网站内容载入,感染用户计算机,尤其是不经常进行安全更新的计算机。
  • Simda僵尸网络的影响范围超过190个国家,其中美国、英国、俄罗斯、加拿大和土耳其遭受影响最为严重。
  • 据称,这一僵尸程序已经在全球范围内感染了770,000台计算机,其中大多数受害者均位于美国(从2015年开始,新感染的计算机数量已经超过90,000台)。
  • Simda已经活跃很多年,其利用漏洞的能力很强。平均每几个小时就会出现很难被检测出的最新版本。目前,卡巴斯基实验室的反病毒样本收集库中就包含超过260,000个属于不同版本Simda恶意软件的可执行文件。

       目前,我们正在收集有关Simda僵尸网络的信息和情报,以便识别这一威胁幕后的操纵人员以及申请使用这种具有犯罪行为性质的商业模式收费合作伙伴。

       “这次行动的成功,凸显出不同国家以及国际执法机关、私营企业的合作在对抗全球网络犯罪威胁中的价值和重要性,”国际刑警组织数字犯罪中心总监Sanjay Virmani说,“这次行动给了Simda僵尸网络一记重击。国际刑警组织将继续帮助成员国保护其公民不受网络犯罪的侵害,识别最新的威胁。”

       “僵尸网络是一种地理上具有分布性的网络,要打击这类威胁,往往非常具有挑战性。所以,私营企业和公共机构之间的协作非常重要——参与各方都可以为联合行动做出自己的贡献。在这次打击行动中,卡巴斯基实验室的角色是为僵尸程序提供技术分析,通过卡巴斯基安全网络收集僵尸网络遥测数据,就打击策略提出建议,”卡巴斯基实验室手机安全研究员Vitaly Kamluk说。他目前正被借调到国际刑警组织从事相关工作。

       干扰行动完成后,网络罪犯使用的命令和控制服务器同受感染计算机之间的通讯已经被切断。但是需要注意的是,有些感染仍然没有清除。为帮助受害者清除计算机中的感染,卡巴斯基实验室制作了一个专门用于检查IP地址的网站(CheckIP)。通过访问这个网站,用户可以检查自己的IP地址是否被Simda的命令和控制服务器所记录,从而确认自己是否被感染或曾经被感染。这些IP地址来自于此次的僵尸网络服务器打击行动。

       如果用户的IP地址被识别,并被意味着用户的系统被感染。因为有时候,一个IP地址可能被同一个网络中的多台计算机所使用(例如,这些计算机可能连接了同一个互联网服务提供商)。但是,为了确保安全,建议使用可靠的安全解决方案对系统进行扫描,相关解决方案包括免费的Kaspersky Security Scan和试用版卡巴斯基安全软件

       要检查你的系统是否是Simda僵尸网络的一部分,请访问https://checkip.kaspersky.com

       要了解更多关于Simda僵尸网络干扰行动详情,请访问Securelist.com