Autores
El 9 de abril de 2015, Kaspersky Lab participó de una operación sincronizada que coordinó la INTERPOL Global Complex for Innovation para desactivar la red zombi Simda. Microsoft había iniciado la investigación y la expandió para ampliar su círculo de participantes, que incluyen TrendMicro, el Cyber Defense Institute, oficiales de la Unidad Nacional de Altos Crímenes Tecnológicos (NHTCU) de Holanda, el FBI, la sección de Nuevas Tecnologías de la policía Grand-Ducale de Luxemburgo y el Departamento de Crímenes Cibernéticos “K” del Ministerio del Interior de Rusia, apoyado por la Oficina Nacional Central de INTERPOL en Moscú.
Como resultado de este trabajo conjunto, se confiscaron 14 servidores C&C en Holanda, Estados Unidos, Luxemburgo, Polonia y Rusia. Los análisis preliminares de algunos registros aislados en un sinkhole del servidor revelaron una lista de 190 países afectados por la red zombi Simda.
El personaje Simba, cortesía de Walt Disney Productions, no tiene nada que ver con la red zombi Simda
Simda es una misteriosa red zombi que se usa con fines cibercriminales, como la propagación de programas potencialmente nocivos o indeseados. Es misteriosa porque rara vez aparece en nuestros radares de KSN a pesar de que compromete una gran cantidad de equipos cada día. Esto se debe en parte a que detecta la emulación, las herramientas de seguridad y los equipos virtuales. Tiene varios métodos para detectar los ambientes aislados en una caja de arena y engaña a los investigadores consumiendo todos los recursos del CPU o informando al dueño la dirección IP externa de la red de investigación. Otra razón es su polimorfismo en el lado del servidor y la limitada vida de sus bots.
Simda se distribuye mediante sitios web infectados que redirigen a paquetes de exploits. El bot utiliza direcciones IP integradas de forma rígida en el código para notificar a su dueño sobre varias etapas del proceso de ejecución. Descarga y ejecuta componentes adicionales de sus propios servidores de actualización y puede modificar el fichero hosts del sistema. Logra lo último con una técnica interesante, aunque a primera vista decepciona por su obviedad.
Por lo general, los escritores de malware modifican los ficheros host para alterar los resultados de los motores de búsqueda o añadir a la lista de rechazados algunos sitios web de programas de seguridad, pero el bot Simda agrega registros inesperados para google-analytics.com y connect.facebook.net para dirigir a IPs maliciosas.
¿Por qué? No lo sabemos, pero creemos que tiene que ver con el propósito principal de Simda: la distribución de otros programas maliciosos. Este modelo criminal de negocios permite distribuir el programa malicioso con exclusividad. Esto significa que los distribuidores pueden garantizar que sólo el malware del cliente esté instalado en los equipos infectados. Esto ocurre cuando Simda interpreta una respuesta del servidor C&C: puede desactivarse a sí mismo para evitar que el bot se inicie la próxima vez que se reinicie el sistema, saliendo de inmediato. Se desactiva a la vez que modifica el fichero hosts del sistema. Como un último adiós, Simda reemplaza el fichero hosts original por uno nuevo de su propio cuerpo.
Una mente curiosa se preguntará: ¿para qué? Estos dominios ya no se usan para generar búsquedas de resultados, pero los ordenadores infectados por Simda en el pasado pueden de vez en cuando enviar solicitudes HTTP a servidores maliciosos, aun cuando se supone que se han instalado programas maliciosos exclusivos externos.
Debemos recordar que la primera infección de estos equipos la realizó un exploit que aprovechó una vulnerabilidad en un programa desactualizado. Es muy probable que un programa malicioso externo se elimine con el tiempo, pero un usuario descuidado podría no volver a actualizar el programa vulnerable.
Si todos esos hosts siguen volviendo a los servidores maliciosos para pedir recursos web como ficheros javascript, los criminales podrían usar los mismos exploits para re-infectar los equipos y volverlos a vender, tal vez hasta de forma “exclusiva” al cliente original. Esto confirma lo que ya sabemos: que no hay honor entre criminales.
En esta investigación, Microsoft y varias autoridades completaron el proceso de aislamiento en un sinhkole y Kaspersky Lab contribuyó voluntariamente al proceso de cierre. Esto incluye el análisis técnico del malware, la recolección de estadísticas de infección, asesoramiento sobre la estrategia de cierre de la red zombi y la consulta de nuestros compañeros de la INTERPOL.
Kaspersky Lab detectó el bot Simda como Backdoor.Win32.Simda y, según nuestros cálculos basados en las estadísticas de KSN y telemetría de nuestros socios, afectó a cientos de miles de víctimas en todo el mundo.
Simda se genera de forma automática según la demanda y esto lo confirma el desorden en los tiempos de compilación de los enlaces. Abajo vemos una tabla con la información de un pequeño subgrupo de alrededor de 70 ejemplares de Simda:
Horas de enlace de los ejemplares en la zona horaria UTC
Las horas de enlaces más altas pueden tener relación con los tiempos de mayor actividad de sus víctimas, que se encuentran entre las zonas UTC-9 y UTC-5, que incluyen a los Estados Unidos.
Gracias a la operación de sinkhole y el intercambio de datos entre los participantes, hemos armado una página donde puedes revisar si tu IP se ha conectado en algún momento a los servidores C&C de Simda. Si sospechas que tu equipo está comprometido, puedes usar una de nuestras soluciones gratuitas o de prueba para analizar tu disco duro o instalar Kaspersky Internet Security para una solución a largo plazo.
Los productos Kaspersky Lab detectan cientos de miles de modificaciones de Simda y muchos programas maliciosos externos que se distribuyen durante sus operaciones.
Referencias:
Autores
De los mismos autores
En la misma categoría
El juego del escondite de Simda: una actividad para adultos