Simda joue à cache-cache : un jeu pour adultes

Le 9 avril 2015, Kaspersky Lab a participé à l’opération synchronisée de neutralisation du réseau de zombies Simda sous la coordination du Complexe mondial INTERPOL pour l’innovation. Cette fois-ci, l’enquête avait été lancée à l’origine par Microsoft avant d’impliquer un cercle toujours plus grands d’intervenants dont TrendMicro, le Cyber Defense Institute, des membres de la Division du crime lié aux hautes technologies (NHTCU) des Pays-Bas, du FBI, de la Police grand-ducale Section Nouvelles technologies du Luxembourg et de l’unité “K” de lutte contre la cybercriminalité du ministère russe de l’Intérieur avec l’appui du Bureau central national d’INTERPOL à Moscou.

Suite à cette opération, 14 serveurs de commande ont été saisis aux Pays-Bas, aux Etats-Unis, au Luxembourg, en Pologne et en Russie. L’analyse préliminaire des journaux des serveurs neutralisés par la technique du sinkhole a mis en évidence une liste de 190 pays touchés par le réseau de zombies Simda.

Simba le personnage de Walt Disney Productions, n’a rien à voir avec le réseau de zombies Simda

Simda est un réseau de zombies mystérieux exploité dans des activités cybercriminelles telles que la diffusion de logiciels potentiellement indésirables ou malveillants. Ce bot est mystérieux car il n’apparaît pas fréquemment sur notre radar KSN, malgré le fait qu’il infecte un nombre important d’hôtes chaque jour. Ceci est du en partie à la détection de l’émulation, aux outils de sécurité et aux machines virtuelles. Il dispose de plusieurs méthodes pour détecter les environnements de bac à sable utilisés pour les recherches et qui permettent de tromper les chercheurs en consommant toutes les ressources du processeur ou de communiquer l’adresse IP externe du réseau de recherche au propriétaire du réseau de zombies. L’autre raison de cette discrétion est à chercher du côté du polymorphisme côté serveur et de la durée de vie limitée des bots.

Simda est distribué par un nombre de sites Internet infectés qui redirigent les utilisateurs vers des kits d’exploitation. Le bot utilise des adresses IP codées en dur pour maintenir l’opérateur informé sur les différentes étapes du processus. Il télécharge et exécute des composants additionnels depuis ses propres serveurs de mise à jour et il est capable de modifier le fichier hosts du système. Cette dernière technique est intéressante, même s’il est semble tellement évidente à première vue.

D’habitude, les auteurs de malware modifient les fichiers hosts afin d’intervenir dans les résultats des recherches ou pour ajouter certains sites de logiciels de sécurité à une liste noire. Le bot Simda quant à lui ajoute des entrées inattendues qui amènent google-analytics.com et connect.facebook.net à pointer vers des adresses IP malveillantes.

Quelle est la raison de cette pratique ? Nous n’en savons rien, mais nous pensons que la réponse est liée à la fonction principale de Simda, à savoir la distribution d’autres malwares. Ce modèle d’activité criminelle ouvre la porte à la possibilité d’un monopole sur la distribution de malwares. Cela signifie que les distributeurs peuvent garantir que le malware du client sera le seul à être installé sur les ordinateurs infectés. Cela se passe lorsque Simda interprète une réponse du centre de commande : il est capable de se désactiver en empêchant le démarrage du bot après le redémarrage suivant, via un arrêt instantané. Cette désactivation coïncide avec la modification du fichier hosts du système. En guise de dernier cadeau, Simda remplace le fichier hosts original par un nouveau qui provient de son propre corps.

La curiosité pourrait nous amener à nous poser la question suivante : en quoi cela est-il utile à l’opération ? Ces domaines ne sont plus utilisés pour créer des résultats de recherche, mais les ordinateurs infectés par Simda par le passé peuvent continuer à envoyer de temps à autres des requêtes HTTP vers des serveurs malveillants, même lors qu’un malware tiers exclusif est censé avoir été installé.

Il ne faut pas oublier que ces ordinateurs ont été infectés au départ via un kit d’exploitation qui reposait sur une vulnérabilité dans un logiciel auquel aucun correctif n’avait été appliqué. Il est très probable qu’un malware tiers sera éliminé après un certain temps, mais il peut arriver qu’un utilisateur peu attentif n’actualise jamais son logiciel vulnérable.

Si ces hôtes ne cessent de revenir vers les serveurs malveillants et de demander des ressources Internet comme des fichiers javascript, les criminels peuvent utiliser les mêmes codes d’exploitation pour réinfecter les ordinateurs et les vendre à nouveau, peut-être même "en exclusivité" au client original. Ceci confirme à nouveau que même les criminels ne peuvent pas faire confiance aux criminels.

Dans le cadre de cette enquête, Microsoft et plusieurs autorités judiciaires et policières ont déployé la technique du sinkhole tandis que Kaspersky Lab a contribué volontairement aux préparatifs de la mise hors service. Ce travail a porté notamment sur l’analyse technique du malware, la collecte de statistiques sur les infections, l’orientation sur la stratégie à adopter contre le réseau de zombies et les conseils fournis à nos partenaires d’INTERPOL.

Kaspersky Lab a détecté le bot Simda sous le nom Backdoor.Win32.Simda et d’après nos estimations qui reposent sur les statistiques de KSN et les données de télémétrie de nos partenaires, il aurait infecté des centaines de milliers de victimes à travers le monde.

Simda est créé automatiquement à la demande et ce détail est confirmé par l’absence du moindre ordre dans l’édition des liens/la compilation. Vous trouverez ci-dessous un graphique généré au départ d’un petit sous-ensemble d’environ 70 échantillons aléatoires de Simda :

Samples link times in UTC timezone

L’augmentation de l’édition des liens est plus que probablement liée à l’activité de la majorité des victimes de Simda qui se trouvent entre les fuseaux horaires TU-9 et TU-5, ce qui inclut les Etats-Unis.

Grâce à la technique du sinkhole et au partage de données entre les partenaires, nous avons créé une page qui permet de vérifier si votre adresse IP s’est connectée dans le passé à des serveurs de commande de Simda. Si vous pensez que votre ordinateur a été infecté, vous pouvez utiliser une de nos solutions gratuites ou d’évaluation pour analyser l’ensemble de votre disque dur ou installer Kaspersky Internet Security pour une protection à plus long terme.

A l’heure actuelle, les produits de Kaspersky Lab détecte des centaines de milliers de modifications de Simda avec de nombreux malwares tiers différents distribués lors de la campagne Simda.

References:

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *