Onderzoek FireEye belicht comeback populaire Remote Access Tool ‘Poison Ivy’

Amsterdam – 22. August 2013 – FireEye, ontwikkelaar van een virtueel beveiligingsplatform dat organisaties real-time bescherming biedt tegen de nieuwste cyberaanvallen, presenteert haar nieuwste rapport met de titel ‘Poison Ivy: Assessing Damage and Extracting Intelligence’. Dit rapport belicht de comeback van Poison Ivy, een malware Remote Access Tool (RAT) die acht jaar na de oorspronkelijke release nog steeds populair en effectief is bij hackers. Zo is deze malware onder andere ingezet voor aanvallen op tientallen bedrijven uit de Fortune 1000. Samen met dit rapport lanceert FireEye Calamine: een open source toolkit die organisaties helpt bij het detecteren van mogelijke Poison Ivy-infecties.

Door de jaren heen is Poison Ivy gebruikt bij verschillende geavanceerde malware-aanvallen. Een van de meest recente en geruchtmakende aanvallen was die op RSA in 2011. Tijdens deze aanval werden SecureID-gegevens ontvreemd. In hetzelfde jaar was de malware mede verantwoordelijk voor de gecoördineerde aanval ‘Nitro’, een aanval die zich voornamelijk richtte op chemie- en beveiligingsbedrijven, overheden en mensenrechtenorganisaties.

Dit rapport identificeert verschillende groepen hackers die Poison Ivy inzetten en een actieve bedreiging vormen, waaronder:

• admin@338: de hackers die deze code gebruiken zijn actief sinds 2008 en richten zich voornamelijk op de financiële dienstverlening. Volgens onderzoek van FireEye richt admin@338 zich ook actief op de sectoren telecom, overheid en beveiliging.

• th3bug: deze code werd in 2009 voor het eerst ontdekt. Sindsdien heeft FireEye de hackers die deze code gebruiken verschillende sectoren zien aanvallen. th3bug richt zich met zijn aanvallen vooral op hoger onderwijs en de zorg.

• menuPass: ook deze hacker-code werd voor het eerst ontdekt in 2009. Onderzoek van FireEye toont aan dat menuPass de Verenigde Staten en buitenlandse beveiligingsbedrijven als voornaamste doelwitten heeft.

“Remote Access Tools zijn vergelijkbaar met zijwieltjes voor hackers”, zegt Darien Kindlund, Manager of Threat Intelligence bij FireEye. “Maar dat betekent niet dat we deze veelvoorkomende malware moeten onderschatten. Ondanks dat deze software bekend staat als softwarespeelgoed voor beginnende hackers, vormen RAT’s de spil in diverse geavanceerde cyberaanvallen en worden ze gebruikt door tal van grote spelers. Tegenwoordig zien we honderden van deze Poison Ivy-aanvallen die zich richten op grote nationale en internationale organisaties.”

Het Calamine-pakket van FireEye biedt security professionals een handige tool bij het identificeren van een mogelijke Poison Ivy-aanval. Het pakket identificeert niet alleen duidelijke aanwijzingen van een aanstaande aanval, het legt ook de gegevens van de aanvaller bloot. Denk hierbij bijvoorbeeld aan wachtwoorden, het ontcijferen van commando’s en beheren van online verkeer. Ook wordt er een tijdlijn samengesteld waarin de Poison Ivy malware-activiteiten worden opgenomen. Het FireEye-rapport gaat dieper in op hoe Calamine deze en andere gegevens van een aanval met elkaar in verband brengt.

De verkregen informatie is vooral nuttig in de correlatie met verschillende aanvallen die dezelfde identificatiekenmerken vertonen. De combinatie van deze minuscule details met big-picture intelligence helpt bij het in beeld brengen van dreigingen en het verbeteren van de beveiliging.

Het volledige rapport is te downloaden op de website van FireEye.

Darien Kindlund heeft eerder een blog geschreven over Poison Ivy en de bevindingen uit bovengenoemd onderzoek.

FireEye Labs host op 28 augustus 2013 om 18.00 uur het webinar ‘How to catch a thief: extracting actionable intelligence from the Poison Ivy RAT’. Gedurende dit webinar vertellen verschillende FireEye-medewerkers over Poison Ivy en hoe deze malware het beste kan worden gedetecteerd.

Executive quote “Remote Access Tools zijn vergelijkbaar met zijwieltjes voor hackers”, zegt Darien Kindlund, Manager of Threat Intelligence bij FireEye. “Maar dat betekent niet dat we deze veelvoorkomende malware moeten onderschatten. Ondanks dat deze software bekend staat als softwarespeelgoed voor beginnende hackers, vormen RAT’s de spil in diverse geavanceerde cyberaanvallen en worden ze gebruikt door tal van grote spelers. Tegenwoordig zien we honderden van deze Poison Ivy-aanvallen die zich richten op grote nationale en internationale organisaties.”

Over FireEye Inc.
FireEye heeft een gespecialiseerd, virtueel beveiligingsplatform ontwikkeld, dat real-time beveiliging biedt voor bedrijven en overheden tegen de nieuwste vormen van cyberaanvallen. Deze aanvallen worden steeds geavanceerder en omzeilen steeds vaker traditionele, op signatures gebaseerde beveiliging, zoals next-generation firewalls, IPS, antivirus en gateways. Het FireEye-platform biedt een dynamische real-time bescherming tegen deze nieuwe bedreigingen zonder gebruik te maken van signatures en beschermt organisaties gedurende verschillende fasen van een aanval tegen de belangrijkste bronnen van dreiging: web, e-mail en bestanden. Een virtual execution engine vormt de basis van dit FireEye-platform en is aangevuld met dynamische en real-time informatie over bedreigingen om aanvallen tijdig te identificeren en te stoppen. FireEye heeft ruim 1.000 klanten in meer dan 40 landen, waaronder ruim een derde van de Fortune Top 100-organisaties.