In einer weltweiten Operation, koordiniert vom in Singapur ansässigen INTERPOL Global Complex for Innovation, konnte eine Gruppe von führenden IT-Unternehmen – darunter Kaspersky Lab, Microsoft, Trend Micro und das japanische Cyber Defense Institute –zusammen mit Strafverfolgungsbehörden das kriminelle Simda-Botnetz zerschlagen, das tausende PCs weltweit infiziert hat.
Am 9. April 2015 wurden in zeitgleich durchgeführten Aktionen zehn Command-and-Control-Server (C&C-Server) in den Niederlanden beschlagnahmt – neben weiteren Servern, die in den USA, Russland, Luxemburg und Polen vom Netz genommen wurden. Bei der Operationen waren Beamte der niederländischen NHTCU (Dutch National High Tech Crime Unit), das US-amerikanische FBI (Federal Bureau of Investigation), die luxemburgische Police Grand-Ducale Section Nouvelles Technologies sowie das für Cyberkriminalität zuständige Department „K“ des russischen Innenministeriums, unterstützt durch das INTERPOL National Central Bureau in Moskau, involviert.
Damit sollte der Betrieb des Botnetzes signifikant zerschlagen worden sein. Für Cyberkriminelle, die eine Weiterführung ihrer illegalen Geschäfte beabsichtigen, werden die hierfür anfallenden Kosten und Risiken erhöht. Die Computer der Opfer werden zudem davor bewahrt, weiter Teil des Botnetzes zu sein.
Erkenntnisse über Simda:
Um die Hintermänner des Simda-Botnetzes zu identifizieren, werden derzeit Informationen und gewonnene Einsichten gesammelt.
„Diese erfolgreiche Operation unterstreicht den Wert und die Notwendigkeit von Partnerschaften mit nationalen und internationalen Strafverfolgungsbehörden sowie der Privatwirtschaft im Kampf gegen die weltweite Bedrohung durch Cyberkriminalität“, sagt Sanjay Virmani, Direktor des INTERPOL Digital Crime Centre. „Die Operation markiert einen bedeutenden Schlag gegen das Simda-Botnet. INTERPOL wird seine Arbeit fortsetzen, um Mitgliedstaaten beim Schutz ihrer Bürgerinnen und Bürger vor Cyberkriminellen und anderen aufkommenden Bedrohungen zu helfen.“
„Botnetze sind geografisch verteilte Netzwerke. Eine Zerschlagung ist daher in der Regel eine anspruchsvolle Aufgabe. Deshalb ist die Zusammenarbeit von privatem und öffentlichem Sektor entscheidend. Bei diesem gemeinsamen Projekt hat jede Partei seinen eigenen wichtigen Beitrag geleistet. Die Rolle von Kaspersky Lab war es, das Botnetz technisch zu analysieren, es über das Kaspersky Security Network auszuwerten und die Zerschlagungsstrategie beratend zu begleiten“, so Vitaly Kamluk, Principal Researcher bei Kaspersky Lab.
Die Simda-IP-Überprüfungs-Seite von Kaspersky Lab ist unter https://kas.pr/bot-test abrufbar.
Ein Blogbeitrag „Simda's Hide and Seek: Grown-up Games“ ist hier http://securelist.com/blog/69580/simdas-hide-and-seek-grown-up-games/ verfügbar.
[1] http://securelist.com/blog/69580/simdas-hide-and-seek-grown-up-games/
[2] https://kas.pr/bot-test (Die IP-Adressen konnten als Ergebnis der Simda-Zerschlagung ermittelt werden.)
[3] http://www.kaspersky.com/de/internet-security