Stručnjaci upozoravaju: Hakerski alat Poison Ivy je i dalje veoma aktivan

Opisi virusa, 26.08.2013, 10:17 AM

Stručnjaci upozoravaju: Hakerski alat Poison Ivy je i dalje veoma aktivan

Osam godina pošto se prvi put pojavio, hakerski alat za daljinski pristup kompromitovanim računarima (RAT, Remote Access Tool) Poison Ivy je i dalje popularan i delotvoran, iako je reč o Trojancu koji je dobro poznat u krugovima stručnjaka za kompjutersku bezbednost.

Uprkos reputaciji softvera za hakere početnike koju imaju ovakvi alati za daljinski pristup, oni su i dalje okosnica mnogih sofisticiranih sajber napada. Uz malo tehničkog znanja, RAT omogućavaju neometan pristup kompromitovanim računarima. Ovakvi alati su često ključna komponenta koordinisanih napada u kojima se koriste ranije nepoznate (0-day) ranjivosti u softveru i tehnike društvenog inženjeringa.

Prisustvo RAT na računaru može biti znak da je reč o ciljanom napadu koji se u stručnim krugovima naziva ATP (advanced persistent threat), ali s obzirom na široku upotrebu ovih alata najčešće nije lako proceniti o kakvom napadu se radi.

Dokument koji je objavila firma FireEye analizira aktivnosti ozloglašenog alata Poison Ivy koji se uspešno koristio u brojnim sajber operacijama čije su mete bile vlade, kompanije i borci za ljudska prava. Poison Ivy je ostao upamćen najviše po napadu na RSA 2011. godine koji je kompaniju koštao 66 miliona dolara koliko je bilo potrebno za zamenu SecurID tokena korisnika.

Poison Ivy, koji se može slobodno preuzeti sa zvaničnog web sajta www.poisonivy-rat.com,je jedan od najčešće korišćenih alata za daljinski pristup kompromitovanim računarima. Svoju popularnost u kriminalnim krugovima ovaj RAT duguje pre svega tome što se njima upravlja preko svima dobro poznatog Windows-ovog interfejsa, kao i činjenici da napadačima nudi brojne mogućnosti: beleženje aktivnosti korisnika na tastaturi, snimanje ekrana, snimanje videa, transfer fajlova, krađu lozinki, upravljanje sistemom i druge zlonamerne aktivnosti. RAT zahetva živu, direktnu interakciju u realnom vremenu sa napadačem. To ga razlikuje od drugih malvera koji su fokusirani na sajber kriminal. Zato prisustvo RAT na računaru može biti znak da imate posla sa napadačem koji je isključivo zainteresovan za kompaniju ili organizaciju u kojoj radite.

FireEye je prikupio 194 uzorka malvera Poisom Ivy koji su korišćeni u ciljanim napadima u periodu između 2008. i 2013. godine. Stručnjaci FireEye su infekcije ovim malverom povezali sa aktivnostima tri grupe: Admin@338, Th3bug i MenuPass. Grupe su dobile imena po lozinkama koje su korišćene za pristup Poison Ivy alatu onda kada bi on bio instaliran na kompromitovanim računarima.

Hakeri grupe Admin@338 koristili su Poison Ivy u ATP napadima od janura 2008., i u spear fišing napadima na finansijske organizacije, ali i telekomunikacijske kompanije, vlasti i sektor odbrane.

Grupa Th3bug je uglavnom napadala sektor visokog obrazovanja i zdravstva, počev od oktorbra 2009. godine, inficirajući web sajtove koje žrtve najčešće posećuju.

MenuPass je takođe koristio spear fišing emailove koji su posebno dizajnirani za napad na određene zaposlene u organizacijama i kompanijama, koje je trebalo na prevaru naterati da kliknu na maliciozne linkove ili fajlove u emailovima. Aktivnosti grupe MenuPass započele su 2009. godine, a napadi su dolazili iz Kine, dok su mete napada bile američki i drugi inostrani preduzimači u sektoru odbrane.

FireEye je objavio paket alata pod nazivom Calamine koji omogućava profesionalcimada prate ponašanje i komunikacije RAT. Paket Calamine koji je razvijen sa ciljem da osujeti dugotrajne kampanje špijunaže, sastoji se od alata koji dešifruje komunikaciju RAT alata tako da oni koji su zaduženi za bezbednost mreža u organizacijama i kompanijama mogu da razumeju komande operatera koji kontrolišu kompromitovane računare, kao i da steknu uvid u profil napadača, ali i da dobiju informacije o konfiguracionim fajlovima koji se koriste u napadu.

Iz FireEye kažu da njihov alat treba da pomogne žrtvama napada da razlikuju sporadične infekcije od perzistentne kampanje napada čiji je cilj krađa podataka kompanije ili organizacije.

Više detalja o ovome možete naći u dokumentu (PDF) koji je objavio FreEye.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje