Ένα κακόβουλο εργαλείο λογισμικού που ίσως χρησιμοποιείται πιο διάσημα για να χαράξει την υποδομή SecurID της RSA εξακολουθεί να χρησιμοποιείται σε στοχευμένες επιθέσεις, σύμφωνα με τον προμηθευτή ασφαλείας FireEye.
Το Poison Ivy είναι ένα Trojan απομακρυσμένης πρόσβασης (RAT) που κυκλοφόρησε πριν από οκτώ χρόνια, αλλά εξακολουθεί να προτιμάται από μερικούς χάκερ, έγραψε η FireEye σε μια νέα έκθεση που κυκλοφόρησε την Τετάρτη. Έχει μια οικεία διεπαφή των Windows, είναι εύκολο στη χρήση και μπορεί να καταγράψει πληκτρολογήσεις, να κλέψει αρχεία και κωδικούς πρόσβασης.
[Ο εμπειρογνώμονας ασφαλείας Roger A. Grimes προσφέρει μια ξενάγηση στις πιο πρόσφατες απειλές και εξηγεί τι μπορείτε να κάνετε για να τις σταματήσετε στο βίντεο του Shop Talk "Fight Today's Malware". | Ενημερωθείτε για βασικά ζητήματα ασφάλειας με το blog του Adviser ασφαλείας και το ενημερωτικό δελτίο Security Central. ]
Δεδομένου ότι το Poison Ivy χρησιμοποιείται ακόμη τόσο ευρέως, η FireEye είπε ότι είναι πιο δύσκολο για τους αναλυτές ασφαλείας να συνδέσουν τη χρήση του με μια συγκεκριμένη ομάδα πειρατείας.
Για την ανάλυσή της, η εταιρεία συνέλεξε 194 δείγματα Poison Ivy που χρησιμοποιήθηκαν σε επιθέσεις που χρονολογούνται από το 2008, εξετάζοντας τους κωδικούς πρόσβασης που χρησιμοποίησαν οι εισβολείς για πρόσβαση στα RAT και στους διακομιστές εντολών και ελέγχου που χρησιμοποιήθηκαν.
Τρεις ομάδες, μία από τις οποίες φαίνεται να εδρεύει στην Κίνα, χρησιμοποιούν το Poison Ivy σε στοχευμένες επιθέσεις που ξεκινούν τουλάχιστον τέσσερα χρόνια. Το FireEye εντόπισε τις ομάδες με τους κωδικούς πρόσβασης που χρησιμοποίησαν για πρόσβαση στο Poison Ivy RAT που έχουν τοποθετήσει στον υπολογιστή ενός στόχου: admin338, th3bug και menuPass.
Ο όμιλος admin388 πιστεύεται ότι ήταν ενεργός ήδη από τον Ιανουάριο του 2008, στοχεύοντας σε ISP, εταιρείες τηλεπικοινωνιών, κυβερνητικούς οργανισμούς και τον αμυντικό τομέα, έγραψε η FireEye.
Τα θύματα συνήθως στοχεύονται από αυτήν την ομάδα με ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος (phear-phishing), τα οποία περιέχουν κακόβουλο συνημμένο Microsoft Word ή PDF με τον κωδικό Poison Ivy. Τα μηνύματα είναι στα Αγγλικά αλλά χρησιμοποιούν ένα σύνολο κινεζικών χαρακτήρων στο σώμα μηνυμάτων email.
Η παρουσία του Poison Ivy μπορεί να υποδηλώνει ένα πιο απαιτητικό ενδιαφέρον από έναν εισβολέα, καθώς πρέπει να ελέγχεται χειροκίνητα σε πραγματικό χρόνο.
"Οι RAT είναι πολύ πιο προσωπικές και μπορεί να δείχνουν ότι ασχολείστε με έναν ειδικό απειλητικό ηθοποιό που ενδιαφέρεται ειδικά για τον οργανισμό σας", έγραψε η FireEye.
Για να βοηθήσει τους οργανισμούς να εντοπίσουν το Poison Ivy, το FireEye κυκλοφόρησε το "Calamine", ένα σύνολο δύο εργαλείων που έχουν σχεδιαστεί για να αποκωδικοποιήσουν την κρυπτογράφηση του και να καταλάβουν τι κλέβει.
Οι κλεμμένες πληροφορίες κρυπτογραφούνται από τον Poison Ivy χρησιμοποιώντας το Camellia cipher με ένα κλειδί 256-bit πριν αποσταλούν σε έναν απομακρυσμένο διακομιστή, έγραψε η FireEye. Το κλειδί κρυπτογράφησης προέρχεται από τον κωδικό πρόσβασης που χρησιμοποιεί ο εισβολέας για να ξεκλειδώσει το Poison Ivy.
Πολλοί από τους εισβολείς χρησιμοποιούν απλά τον προεπιλεγμένο κωδικό πρόσβασης, "διαχειριστής". Αλλά αν ο κωδικός πρόσβασης έχει αλλάξει, ένα από τα εργαλεία της Calamine, το σενάριο PyCommand, μπορεί να χρησιμοποιηθεί για να τον παρακολουθήσει. Ένα δεύτερο εργαλείο Calamine μπορεί στη συνέχεια να αποκρυπτογραφήσει την κίνηση δικτύου του Poison Ivy, το οποίο μπορεί να δώσει μια ένδειξη για το τι έχει κάνει ο εισβολέας.
"Η Καλαμίνη δεν μπορεί να σταματήσει αποφασισμένους επιτιθέμενους που χρησιμοποιούν το Poison Ivy", προειδοποίησε ο FireEye. "Αλλά μπορεί να κάνει τις εγκληματικές τους προσπάθειες πολύ πιο δύσκολες."
Στείλτε συμβουλές και σχόλια ειδήσεων στο [email protected]. Ακολουθήστε με στο Twitter: @jeremy_kirk.
