Het Simda-botnetwerk is ontmanteld. De operatie werd geleid vanuit Interpol in Singapore met steun van Kaspersky Lab, Trend Micro, Microsoft en het Cyber Defense Institute in Japan. Onder meer in Nederland werden servers in beslag genomen.
Het deze week nog maar pas officieel geopende Interpol Global Complex for Innovation (IGCI) in Singapore kan alvast een eerste pluim op de hoed steken. In een vanuit het IGCI gecoördineerde wereldwijde operatie werd het criminele botnetwerk Simda ontmandeld. Het gaat om een netwerk dat uit duizenden geïnfecteerde pc’s bestond, verspreid over de hele wereld.
Op donderdag 9 april werden onder meer ook in Nederland tien ‘command & control’ servers in beslag genomen. In de VS, Rusland, Luxemburg en Polen zijn aanvullende servers neergehaald. Bij de operatie waren leden van de Dutch National High Tech Crime Unit (NHTCU) uit Nederland betrokken, net als de FBI in de VS, de Police Grand-Ducale Section Nouvelles Technologies in Luxemburg en het Russische Ministry of the Interior’s Cybercrime Department ‘K’. Interpol in Moskou zorgde voor de nodige ondersteuning.
Beveiligingsbedrijven werken samen met politie
Om het netwerk van Simda bloot te leggen, werkten IT-bedrijven als Kaspersky Lab, Trend Micro en Microsoft actief samen met de Interpol-diensten in het IGCI in Singapore. “Ik werk al sinds 2005 rond security en ik heb politie en industrie nog nooit zodanig samen zien werken om een probleem in zo’n korte tijdspanne op te lossen”, zegt Brad Marden, coördinator investigative support Interpol Digital Crime Centre. “Simda was opgezet als een crime-as-a-service, waarbij geïnfecteerde pc’s verhuurd werden aan andere malware-ontwikkelaars, allemaal met de bedoeling om persoonlijke data te ontfutselen. Microsoft heeft het snel ontdekt en heeft Interpol gecontacteerd. Wij hebben er Kaspersky Lab en Trend Micro bij gehaald en vanuit het IGCI alles in kaart gebracht”, blikt Marden tevreden terug op de samenwerking.
Werk nog niet gedaan
Simda bestaat al meerdere jaren, omdat heel wat besmettingen onopgemerkt bleven. Simda werd voortdurend aangepast om nieuwe kwetsbaarheden uit te buiten en zo onder de radar te blijven. Het netwerk werd gebruikt voor criminele activiteiten naar de burger toe, maar ook naar financiële instellingen. Maar ook voor aanvallen op het internet zelf – denk aan DDOS – werd het netwerk van geïnfecteerde pc’s ingezet. In de eerste twee maand van dit jaar werden nog 90.000 nieuwe infecties in de VS geteld, maar de tentakels van het netwerk reikten tot in meer dan 190 verschillende landen.
Het werk is trouwens nog niet gedaan. Interpol en Kaspersky Lab & co brachten Simda een zware slag toe, maar helemaal uitgeroeid is het netwerk allicht nog niet.
Momenteel wordt nog volop bewijsmateriaal verzameld en trachten de onderzoekers vooral ook de ‘masterminds’ achter Simda te identificeren. Het zijn zij die het business model op poten zetten om via Simda computers te verhuren aan andere internetcriminelen.
