Securityleverancier FireEye presenteert zijn nieuwste rapport met de titel ‘Poison Ivy: Assessing Damage and Extracting Intelligence’. Dit rapport belicht de comeback van Poison Ivy, een malware remote access tool die acht jaar na de oorspronkelijke release nog steeds populair en effectief is bij hackers. Zo is deze malware onder andere ingezet voor aanvallen op tientallen bedrijven uit de Fortune 1000.
Door de jaren heen is Poison Ivy gebruikt bij verschillende geavanceerde malware-aanvallen. Een van de meest recente en geruchtmakende aanvallen was die op RSA in 2011. Tijdens deze aanval werden SecureID-gegevens ontvreemd. In hetzelfde jaar was de malware mede verantwoordelijk voor de gecoördineerde aanval ‘Nitro’, een aanval die zich voornamelijk richtte op chemie- en beveiligingsbedrijven, overheden en mensenrechtenorganisaties.
admin@338, th3bug en menuPass
Dit rapport identificeert verschillende groepen hackers die Poison Ivy inzetten en een actieve bedreiging vormen, waaronder admin@338, th3bug en menuPass.
De hackers die deze code onder de naam admin@338 gebruiken zijn actief sinds 2008 en richten zich voornamelijk op de financiële dienstverlening. Volgens onderzoek van FireEye richt admin@338 zich ook actief op de sectoren telecom, overheid en beveiliging.
De code van th3bug werd in 2009 voor het eerst ontdekt. Sindsdien heeft FireEye de hackers die deze code gebruiken verschillende sectoren zien aanvallen. th3bug richt zich met zijn aanvallen vooral op het hoger onderwijs en de zorg.
Ook de hacker-code menuPass werd voor het eerst ontdekt in 2009. Onderzoek van FireEye toont aan dat menuPass de Verenigde Staten en buitenlandse beveiligingsbedrijven als voornaamste doelwitten heeft.
Remote access tools
‘Remote access tools zijn vergelijkbaar met zijwieltjes voor hackers’, zegt Darien Kindlund, manager of threat intelligence bij FireEye. ‘Maar dat betekent niet dat we deze veelvoorkomende malware moeten onderschatten. Ondanks dat deze software bekend staat als softwarespeelgoed voor beginnende hackers, vormen remote access tools de spil in diverse geavanceerde cyberaanvallen en worden ze gebruikt door tal van grote spelers. Tegenwoordig zien we honderden van deze Poison Ivy-aanvallen die zich richten op grote nationale en internationale organisaties.’