Küresel siber suç tehdidine karşı mücadelede önemli bir adım atıldı. Küresel bir operasyonla, dünyadaki virüs bulaşmış binlerce bilgisayardan oluşan bir ağ olan Simda botneti dağıtıldı.
9 Nisan Perşembe günü eşzamanlı olarak gerçekleştirilen bir dizi eylemle, Hollanda’da 10 adet komut ve kontrol sunucusu ele geçirildi, ABD, Rusya, Lüksemburg ve Polonya’da da bazı sunucular kapatıldı. Operasyona, Hollanda’daki Hollanda Ulusal Yüksek Teknoloji Suç Birimi (NHTCU), ABD’li Federal Araştırma Bürosu (FBI), Lüksemburg’daki Police Grand-Ducale Section Nouvelles Technologies ve Moskova’daki INTERPOL Ulusal Merkez Bürosu tarafından desteklenen Rus İçişleri Bakanlığı Siber Suç Bölümü “K” yetkilileri dahil oldu.
Bu operasyonun, botnetin işleyişini önemli derecede bozması bekleniyor. Bu operasyon, yasa dışı çalışmalarına devam etmek niyetinde olan siber suçlular için maliyet ve riskleri artıracak ve kurbanların bilgisayarlarının kötü niyetli düzenin bir parçası olmasını engelleyecek.
Simda, yasa dışı yazılımları ve finansal kimlik bilgilerini çalabilme yeteneğine sahip olanlar dahil olmak üzere farklı kötü amaçlı yazılım türlerini dağıtmak için kullanılan “pay-per-install” (yükleme başına ödeme) türünden bir zararlı yazılım. Pay-per-install modeli, siber suçluların para kazanmak için virüs bulaştırılan bilgisayarlara erişim hakkını, sonrasında bu bilgisayarlara ilave programlar yükleyen diğer suçlulara satmasına izin veriyor.
Simda, açıklardan yararlanma kitlerine yönlendirme yapan bir dizi virüslü web sitesine dağıtılıyor. Saldırganlar, meşru web sitelerinin/ sunucularının gizliliğini bozarak ziyaretçilere sunulan web sayfalarının kötü niyetli kodlar içermesini sağlıyor. Kullanıcılar bu sayfalara göz atarken kötü niyetli kod, açıklardan yararlanma sitesindeki içeriği sessizce yükler ve güncellenmemiş bilgisayarlara bulaşıyor.
Türkiye’yi de etkiledi
Simda botneti, en kötü etkilenenleri ABD, İngiltere, Rusya, Kanada ve Türkiye olmak üzere 190’ın üzerinde ülkede görüldü. Bu bot’un dünya çapında 770.000 bilgisayara bulaşmış olduğu ve kurbanların büyük çoğunluğunun ABD’de bulunduğu düşünülüyor (2015’in başından bu yana 90.000’den fazla yeni bulaşma).
Yıllardır aktif olan Simda, tespit edilmesi zorlaşan ve birkaç saatte bir dağıtılan yeni sürümleri ile herhangi bir güvenlik açığından yararlanabilmek konusunda her geçen gün daha iyi bir duruma gelmekte. Şu anda Kaspersky Lab’ın virüs koleksiyonu, Simda kötü amaçlı yazılımının farklı sürümlerine ait 260.000’den fazla yürütülebilir dosya içeriyor.
Suç faaliyetlerine, bağlı iş ortaklarını ücretlendiren bir iş modeli uygulayan kişiler olan Simda botnetin arkasındaki aktörlerin belirlenebilmesi için bilgi ve istihbarat toplanmaya başlanmıştır.
Bu operasyonun sonucunda, suçlular tarafından virüslü makinelerle iletişim kurmak için kullanılan komut ve kontrol sunucuları kapatılmıştır. Ancak, bazı virüslerin hala mevcut olduğunu belirtmek gerekiyor. Kurbanların bilgisayarlarını bulaşmadan temizlemesine yardımcı olmak amacıyla Kaspersky Lab özel bir IP’ni kontrol et web sitesi oluşturdu. Burada kullanıcılar, IP’lerinin aktif olarak ya da geçmişte Simda komut ve kontrol sunucuları üzerinde bulunup bulunmadığını öğrenebilirler. Bu IP adresleri, sunucuları kapatma işleminin sonucunda kullanılabilir hale gelmiş.