Le botnet Simda a été démantelé. L’opération a été dirigée au départ d’Interpol Singapour avec le soutien de Kaspersky Lab, Trend Micro, Microsoft et le Cyber Defense Institute japonais. Des serveurs ont été saisis notamment aux Pays-Bas.
L’Interpol Global Complex for Innovation (IGCI) qui vient d’être officiellement inauguré à Singapour, peut déjà s’enorgueillir d’une première victoire. Dans le cadre d’une opération mondiale coordonnée à partir de l’IGCI, le botnet criminel Simda a en effet été démantelé. Il s’agit là d’un réseau composé de milliers de PC infectés, disséminés dans le monde entier.
Le jeudi 9 avril, dix serveurs ‘command & control’ ont été saisis aux Pays-Bas notamment. D’autres serveurs ont été mis hors d’état de nuire aux Etats-Unis, en Russie, au Luxembourg et en Pologne. L’opération a impliqué des membres de la Dutch National High Tech Crime Unit (NHTCU) néerlandaise, tout comme le FBI aux Etats-Unis, la Police Grand Ducale Section Nouvelles Technologies à Luxembourg et le Ministry of the Interior’s Cybercrime Department ‘K’ russe. Interpol à Moscou a assuré le support nécessaire.
Des entreprises de sécurité collaborent avec la police
Pour repérer le réseau Simda, des entreprises IT telles Kaspersky Lab, Trend Micro et Microsoft ont collaboré avec les services d’Interpol dans l’IGCI de Singapour. “Je travaille depuis 2005 déjà dans la sécurité et je n’ai jamais vu une telle collaboration étroite entre la police et l’industrie pour résoudre un problème en un si cours laps de temps”, déclare Brad Marden, coordinator investigative support Interpol Digital Crime Centre. “Simda agissait comme un ‘crime-as-a-service’, où les PC contaminés étaient loués à d’autres développeurs de malware, qui avaient tous comme but de subtiliser des données personnelles. Microsoft a eu tôt fait de le découvrir et a pris contact avec Interpol. Nous en avons à notre tour avisé Kaspersky Lab et Trend Micro, et toute l’opération a été préparée au sein de l’IGCI”, affirme un Marden ravi d’une telle collaboration.
Le travail n’est pas encore fini
Simda existe en fait depuis plusieurs années déjà, du fait que de nombreuses contaminations sont restées inaperçues. Simda a été continuellement adapté afin d’exploiter de nouvelles failles et ainsi ne pas être repéré. Le réseau a été utilisé pour des activités criminelles, mais a visé aussi des institutions financières. Le réseau de PC infectés a été en outre exploité pour lancer des attaques sur internet même: pensez aux attaques DDOS. Durant les deux premiers mois de cette année, 90.000 nouvelles infections ont encore été recensées aux Etats-Unis, mais les tentacules de ce réseau-pieuvre ont atteint plus de 190 pays différents. Le travail n’est du reste pas encore terminé. Interpol et Kaspersky Lab & co ont porté un coup dur à Simda, mais le réseau n’est assurément pas encore totalement détruit.
Actuellement, l’on collecte encore activement des preuves, et les enquêteurs tentent surtout d’identifier les têtes pensantes à l’initiative de Simda. Ce sont eux qui ont mis en oeuvre le ‘business model’ en vue de louer les ordinateurs Simda à d’autres criminels sur internet.
