Tietoturvamyyjän FireEyen mukaan haitallista ohjelmistotyökalua, jota ehkä tunnetuimmin käytetään RSA: n SecurID-infrastruktuurin hakkerointiin, käytetään edelleen kohdennetuissa hyökkäyksissä.
Poison Ivy on etäkäyttöinen troijalainen (RAT), joka julkaistiin kahdeksan vuotta sitten, mutta jotkut hakkerit suosivat sitä edelleen, FireEye kirjoitti uudessa keskiviikkona julkaistussa raportissa. Siinä on tuttu Windows-käyttöliittymä, sitä on helppo käyttää ja se voi kirjata näppäinpainalluksia, varastaa tiedostoja ja salasanoja.
[Turvallisuusasiantuntija Roger A. Grimes tarjoaa opastetun kiertueen uusimpiin uhkiin ja kertoo, mitä voit tehdä estääkseen ne "Fight Today's Malware" -palvelun Shop Talk -videossa. | Pysy ajan tasalla tärkeimmistä turvallisuuskysymyksistä Security Adviser -blogissa ja Security Central -uutiskirjeessä. ]
Koska Poison Ivyä käytetään edelleen niin laajalti, FireEye sanoi, että turvallisuusanalyytikoiden on vaikeampi yhdistää sen käyttö tiettyyn hakkerointiryhmään.
Analyysiä varten yhtiö keräsi 194 näytettä Poison Ivystä, jota käytettiin vuoden 2008 hyökkäyksissä, tarkastelemalla salasanoja, joita hyökkääjät käyttivät RAT: iden ja käytettyjen komento- ja hallintapalvelimien käyttämiseen.
Kolme ryhmää, joista yksi näyttää olevan Kiinassa, ovat käyttäneet Poison Ivyä kohdennetuissa hyökkäyksissä, jotka ovat menneet vähintään neljä vuotta. FireEye tunnisti ryhmät niiden salasanojen perusteella, joita he käyttävät tavoitteen tietokoneelle asettamaan Poison Ivy RAT -määritykseen: admin338, th3bug ja menuPass.
Ryhmän admin388 uskotaan toimineen jo tammikuussa 2008, ja se kohdistui Internet-palveluntarjoajiin, teleyrityksiin, valtion järjestöihin ja puolustusalalle, kirjoitti FireEye.
Kyseinen ryhmä kohdistaa uhrit yleensä keihäänpyynnön sähköpostilla, jotka sisältävät haitallisen Microsoft Word- tai PDF-liitteen Poison Ivy -koodilla. Sähköpostit ovat englanninkielisiä, mutta niissä käytetään kiinankielistä merkistöä sähköpostiviestin rungossa.
Poison Ivy läsnäolo saattaa osoittaa hyökkääjän tarkempaa kiinnostusta, koska sitä on hallittava manuaalisesti reaaliajassa.
"RAT-arvot ovat paljon henkilökohtaisempia ja saattavat viitata siihen, että olet tekemisissä omistautuneen uhkatekijän kanssa, joka on kiinnostunut erityisesti organisaatiossasi", FireEye kirjoitti.
Auttaakseen organisaatioita havaitsemaan Poison Ivy, FireEye julkaisi "Calamine" -sarjan, joka koostui kahdesta työkalusta, jotka on suunniteltu purkamaan salauksensa ja selvittämään mitä se varastaa.
Poison Ivy salaa varastetut tiedot käyttämällä Camellia-salausta 256-bittisellä avaimella, ennen kuin se lähetetään etäpalvelimelle, kirjoitti FireEye. Salausavain on johdettu salasanasta, jota hyökkääjä käyttää Poison Ivyn lukituksen avaamiseen.
Monet hyökkääjistä käyttävät vain oletussalasanaa "admin". Mutta jos salasana on muuttunut, sen sieppaamiseen voidaan käyttää yhtä Calamine-työkalua, PyCommand-komentosarjaa. Toinen Calamine-työkalu voi sitten purkaa Poison Ivy -verkkoliikenteen, mikä voi antaa viitteitä siitä, mitä hyökkääjä on tehnyt.
"Calamine ei välttämättä pysäytä määrätietoisia hyökkääjiä, jotka käyttävät Poison Ivyä", FireEye varoitti. "Mutta se voi vaikeuttaa heidän rikollisia pyrkimyksiään."
Lähetä vihjeitä ja kommentteja osoitteeseen [email protected]. Seuraa minua Twitterissä: @jeremy_kirk.
