Décidément, il semblerait que ce soit la saison anti-botnets ! Simda était visiblement le suivant sur la liste des autorités. Le botnet aurait infecté plus de 770 000 ordinateurs dans 190 pays après avoir été repéré en 2012.
Grâce à une véritable coalition des autorités mondiales, d’Interpol et d’entreprises du secteur privé, c’est au tour du botnet d’envergure Simda de tomber. Le coup est double puisqu’il s’avère que c’est la même équipe qui vient de démanteler le botnet Beebone la semaine dernière.
C’est donc après avoir infecté 770 000 ordinateurs dans 190 pays en l’espace de trois ans que le botnet Simda a été mis hors d’état de nuire suite à une action globale le 9 avril. Un communiqué officiel d’Interpol a été publié pour confirmer l’opération à l’encontre de Simda. Avec le soutien du FBI, l’organisation internationale de police criminelle a supervisé une coordination public-privé qui a saisi plus d’une dizaine de serveurs et de domaines aux Pays-Bas, en Pologne, au Luxembourg, aux États-Unis ou encore en Russie. Mais ce n’est pas tout puisque l’opération de démantèlement a impliqué plusieurs acteurs privés dont des éditeurs de logiciels comme Microsoft, Kaspersky Lab et Trend Micro.
Selon Kaspersky Lab, Simda distribuait actuellement plusieurs malwares dont des chevaux de Troie liés au vol d’identifiants bancaires et des logiciels malveillants d’autres type. L’éditeur russe assimile Simda à un botnet de ventes :
“Les créateurs des programmes malveillants reversent une somme d’argent aux propriétaires de Simda pour chaque installation. “
Les créateurs de Simda proposaient par ailleurs des prestations « sur commande ». Ils garantissaient par exemple qu’un seul logiciel malveillant soit installé sur une machine donnée. Une fois son travail accompli, le botnet entrait tout simplement en sommeil et ne se réactivait pas au redémarrage.
Le botnet s’appuyait sur un backdoor polymorphe (et donc difficilement détectable par les antivirus) pour garder le contrôle perpétuel d’une machine infectée. Pour Trend Micro, une de ses fonctionnalités notables était la modification des fichiers HOSTS sur les machines Windows infectées. En pensant se rendre sur des sites légitimes, les utilisateurs étaient redirigés vers des sites malveillants. Parmi les sites ainsi visés : Facebook, Bing, Yahoo, Google Analytics :
Kaspersky Lab a mis en ligne cette page dédiée afin de savoir si une machine a fait partie du botnet Simda. La détection se base sur l’adresse IP en opérant une confrontation avec une base de données d’adresses IP corrompues.
La plupart des scanners antivirus sont actuellement en mesure d’identifier Simda. D’ailleurs, notons que le fichier HOSTS est assez généralement surveillé par les solutions antivirus, car il est considéré comme critique.