בעקבות מבצע כלל עולמי: נעצר בוטנט שהשתלט על כ-800 אלף מחשבים

מבצע כלל עולמי בו השתתפו שורה של גופים ציבוריים ופרטיים בולטים, בהם האינטרפול, קספרסקי (Kaspersky) ומיקרוסופט (Microsoft), הביא לעצירתו של בוטנט שהספיק להשתלט על 770 אלף מחשבים ברחבי העולם ואיים להמשיך ולפגוע.

הענקית מרדמונד הייתה זו שזיהתה את הפעילות המתרחבת של הבוטנט, ששמו Simda. החברה פנתה לאינטרפול ויחד הן הקימו קבוצה בה שיתפו חברות אבטחה מובילות כקספרסקי וטרנד מיקרו (Trend Micro), במטרה לעצור את התפשטות פעילות הפשע המאורגן הזה ברשת העולמית.

בנוסף לחברות השתתפו במבצע המרכז הגלובלי לחדשנות של האינטרפול בסינגפור, מכון הגנת הסייבר של יפן וגופי אכיפת חוק נוספים ברחבי העולם, בהם קצינים מיחידת פשעי ההיי-טק הלאומית של הולנד (NHTCU), ה-FBI, חטיבת הטכנולוגיות החדשות של משטרת לוקסמבורג ומחלקת פשעי הסייבר של משרד הפנים הרוסי. כן תמך בפעילות המשרד הלאומי של האינטרפול במוסקבה.

ההתפשטות של Simda נעצרה בסדרה של פעולות מתואמות: ביום ה' האחרון תפסו לוחמי הסייבר בהולנד 10 שרתי פיקוד ושליטה, ושרתים נוספים הופלו בארצות הברית, רוסיה, לוקסמבורג ופולין.

המבצע צפוי לפגוע משמעותית בפעילות הבוטנט, כך שתימנע פגיעה במחשבים של קורבנות נוספים, והוא יגדיל את העלות והסיכון שנוטלים על עצמם עברייני הסייבר שמעוניינים להמשיך את העסקים הלא חוקיים שלהם.

מה זה Simda?

מדובר בקוד זדוני מסוג "שלם על התקנה (Pay Per Install)", שמשמש להפצת תוכנות לא חוקיות וסוגים נוספים של קוד זדוני, כולל כזה המסוגל לגנוב הרשאות לשירותים פיננסיים. מודל "שלם על התקנה" מאפשר לעברייני הרשת להרוויח כסף באמצעות מכירת גישה למחשבים הנגועים לעבריינים אחרים, שמתקינים עליהם תוכנות נוספות.

יוג'ין קספקסקי, מייסד ומנכ"ל החברה הנושאת את שמו, שמח להכריז על עצירת הבוטנט Simda בכנס Interpol World 2015 בסינגפור. צילום: פלי הנמר

התוכנה המזיקה מופצת באמצעות מספר אתרים נגועים, שמפנים את הגולשים לערכות פריצה. התוקפים מטמיעים באתרים לגיטימיים קוד זדוני המוגש למבקרים באתר. כאשר משתמש גולש לדפים אלה, הקוד טוען תוכן בצורה שקטה מהאתר הפרוץ ומדביק מחשבים שאינם מעודכנים.

הבוטנט Simda נצפה ביותר מ- 190 מדינות, כשארצות הברית, בריטניה, רוסיה, קנדה וטורקיה הן הנפגעות העיקריות. כאמור, על פי ההערכות, הוא פגע ב-770 אלף מחשבים ברחבי העולם, כשרוב הקורבנות נמצאים בארצות הברית – יותר מ- 90 אלף הדבקות חדשות מאז תחילת 2015.

כך מעריך האינטרפול את ההתפשטות והנזק של Simda. צילום: פלי הנמר

Simda אינו קוד חדש – הוא פעיל כבר שנים והעבריינים שיפרו אותו בהדרגה כדי לנצל כל פרצה. הם פיתחו גרסאות חדשות, שקשה יותר לזהות, המיוצרות ומופצות בכל מספר שעות. כרגע, אוסף הווירוסים של מעבדת קספרסקי מכיל יותר מ-260 אלף קבצי הפעלה ששייכים לגרסאות שונות של Simda.

גורמי האכיפה וחברות האבטחה ממשיכים בימים אלה לאסוף מודיעין במטרה לזהות את העבריינים שמאחורי הקוד הזדוני.

"שיתוף הפעולה הציבורי-פרטי – חיוני"

לדברי סנג'י וירמני, מנהל מרכז פשעי הדיגיטל של האינטרפול, "הצלחת המבצע מדגישה את החשיבות והצורך בשותפות בין גופי אכיפה לאומיים ובינלאומיים עם גופים פרטיים מהתעשייה, כדי להילחם נגד איום הפשיעה המקוון. המבצע הכה נמרצות את Simda. האינטרפול ימשיך בעבודתו על מנת לסייע למדינות החברות בהגנה על אזרחיהן מפני עבריינות סייבר ובזיהוי איומים חדשים".

שיתוף הפעולה הבינלאומי אותו מובילה מעבדת פשעי הסייבר של המטה הבינלאומי של האינטרפול בסינגפור

ויטאלי קמלוק, חוקר אבטחה ראשי במעבדת קספרסקי, המצוות בימים אלה לאינטרפול, ציין כי "בוטנטים הם רשתות מבוזרות מבחינה גיאוגרפית ובדרך כלל הפלתם היא משימה מאתגרת. זו הסיבה שהמאמץ השיתופי של המגזרים הציבורי והפרטי חיוני כאן – כל צד מספק תרומה חשובה מצדו. במקרה זה, התפקיד של מעבדת קספרסקי היה לספק ניתוח טכני של הבוטנט, לאסוף נתוני טלמטריה שלו מתוך רשת האבטחה של קספרסקי ולייעץ בנושא אסטרטגיות הפלה".

כתוצאה מהפגיעה בפעילות, נסגרו שרתי הפיקוד והשליטה שהיו בשימוש על ידי העבריינים כדי לתקשר עם המחשבים הפגועים. עם זאת, חשוב לציין כי חלק מההדבקות עדיין קיימות.

במטרה לסייע לקורבנות לחטא את המחשבים שלהם, מעבדת קספרסקי יצרה את האתר CheckIP, בו יכולים משתמשים לבדוק אם ה-IP שלהם נרשם בשרתי הפיקוד והשליטה של Simda – דבר המצביע על סבירות להדבקה פעילה. אולם, גם אם משתמש זיהה את ה-IP שלו באתר, המשמעות היא לאו דווקא שהמערכת שלו הודבקה. במקרים מסוימים יכולה כתובת IP אחת לשרת מספר מחשבים באותה הרשת – לדוגמה, אם הם מחוברים לספק אינטרנט אחד.

הכותב הינו אורח של מעבדת קפסרסקי בכנס Interpol World 2015 בסינגפור.