Le réseau de bots informatiques Simda, qui affectait près de 770 000 ordinateurs dans le monde, a été mis hors d’état de nuire lors d’une opération coordonnée par Interpol la semaine dernière.
Des serveurs de commande et contrôle ont été saisis aux Pays-Bas, et d’autres serveurs ont été désactivés aux États-Unis, au Luxembourg, en Pologne et en Russie.
La division Digital Crimes de Microsoft avait fourni des informations à Interpol et ses partenaires, après avoir découvert par analyse de données massives que le taux d’infection à Simda avait augmenté à vive allure.
La division Digital Crime Center d’Interpol a alors travaillé avec Microsoft, Kaspersky Lab, Trend Micro et le Cyber Defense Institute japonais pour analyser le botnet.
Simda a été utilisé par des criminels pour obtenir un accès distant aux ordinateurs et voler des données personnelles comme les numéros de cartes de crédits ou les mots de passe des comptes bancaires, et pour infecter ces ordinateurs avec d’autres logiciels malveillants.
Le botnet utilisait des vulnérabilités connues de logiciels clients comme Adobe Flash ou Oracle Java, lancés à partir de serveurs corrompus par des injections SQL et des kits de piratage comme Blackhole et Styx.
Il modifiait alors le fichier HOSTS des ordinateurs clients qui contient des correspondances entre adresses IP et noms de serveurs. Comme les entrées du fichier sont prioritaires sur les requêtes DNS, des connexions à des serveurs presque impossibles à éviter dans la vie courante comme connect.facebook.net ou google-analytics.com, étaient secrètement redirigées vers des serveurs de contrôle et commande du botnet.
Rien qu’aux États-Unis, 90 000 nouvelles infections étaient détectées en janvier et février 2015. Le botnet, présent dans plus de 190 pays, affectait le plus les États-Unis, le Royaume-Uni, la Turquie, le Canada et la Russie.
L’opération a été menée avec le soutien de la National High Tech Crime Unit des Pays-Bas, du FBI des États-Unis, de la Police Grand-Ducale section nouvelles technologie au Luxembourg, et du département cybercriminalité ‘K’ du Ministère de l’intérieur de Russie.
La plupart des personnes n’auront pas remarqué que leur ordinateur était infectée. Elles peuvent vérifier si leur adresse faisait partie du botnet en allant sur https://checkip.kaspersky.com/ .
Elles peuvent utiliser des outils comme Windows Defender, inclus dans Windows 8, Microsoft Security Essentials pour Windows 7 et Windows Vista et Microsoft Safety Scanner.