USD 67.52 ЕВРО 76.09

Poison Ivy, который использовался для взлома RSA SecurID, все еще популярен

Экономика

Компания FireEye выпустила набор инструментов для анализа на заражение вирусом Poison Ivy.

Вредоносный код, прославившийся во время атаки на инфраструктуру RSA SecurID по-прежнему используется хакерами, по словам вендора продуктов информационной безопасности, FireEye.

Poison Ivy является трояном с удаленным доступом (RAT), которого создали восемь лет назад, и до сих пор активно используется хакерами, сообщается в отчете, впущенном вчера. Он имеет знакомый Windows интерфейс, прост в использовании и может записывать клавиатурный ввод, воровать файлы и пароли.

Поскольку Poison Ivy по-прежнему широко используется, FireEye считает, что его сложно аналитикам отнести к какой-либо хакерской группировке.

Для анализа вируса, компания собрала 194 образца Poison Ivy, обнаруженных в 2008 году, и изучила использовавшиеся хакерами пароли для доступа к трояну и команды на сервере.

Было выявлено три группы, одна из которых, по всей вероятности, была из Китая, и использовала Poison Ivy в направленных атаках четыре года назад. FireEye сгруппировала использованные пароли для доступа к Poison Ivy RAT: admin338, th3bug и menuPass.

Группа admin388 была активна еще в январе 2008 года, атакуя ISP, телекоммуникационные компании, государственные организации и оборонный сектор, пишет в отчете FireEye.

Жертв атаковали фишинговыми электронными письмами с вложениями Microsoft Word или PDF со встроенным кодом Poison Ivy. Сообщения были на английском, но использовали и китайские тексты в теле письма.

Присутствие Poison Ivy сегодня говорит о наличие к нему интереса со стороны хакеров.

«RAT являются более направленными атаками, говорящими о том, что вашей организацией целенаправленно интересуются», говорится в отчете FireEye.

Для помощи организациям в детектировании Poison Ivy, FireEye выпустила пакет «Calamine», состоящий из двух инструментов для раскодирования шифра и выяснения, что вирус ворует.

Украденную информацию Poison Ivy шифрует с помощью кода Camellia с 256-битным ключем перед тем, как послать на удаленный сервер. Ключ для расшифровки извлекается из пароля, используемого хакером для разблокировки Poison Ivy.

Многие хакеры используют дефолтный пароль «admin». Но если пароль был изменен, один из инструментов пакета «Calamine», скрипт PyCommand, может быть использован для препятствия вирусу. Второй инструмент из Calamine может расшифровать сетевой трафик от Poison Ivy, и понять замысел атакующего.

«Возможно Calamine и не остановит решительную попытку хакеров, использующих Poison Ivy», предупреждает FireEye. «Но он сможет значительно затруднить это посягательство».