Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

D’après le laboratoire de recherche de FireEye, le malware "Poison Ivy" est de retour

août 2013 par FireEye

FireEye, Inc., le spécialiste de la lutte contre les
cyber-attaques de nouvelle génération, publie aujourd’hui son rapport "Poison Ivy :
évaluation des dommages et extraction de l’intelligence". Celui-ci met en évidence
le retour de Poison Ivy, un logiciel malveillant d’accès à distance. Resté populaire
et efficace huit ans après sa première apparition, il a à son actif plusieurs
dizaines d’attaques contre des entreprises du “Fortune 1000”.
Conjointement avec ses équipes de recherche, FireEye lance en parallèle Calamine, un
ensemble d’outils gratuits pour aider les entreprises à détecter d’éventuelles
infections de ce malware.

« Les outils d’accès à distance peuvent être considérés comme l’équivalentdes " petites
roues" des pirates », déclare Darien Kindlund, Directeur du renseignement sur les
menaces chez FireEye. « Néanmoins négliger ce type commun de malware pourrait couter
cher. Malgré leur réputation de logiciels pour pirates débutants - ils restent la
clé de voûte de nombreuses attaques sophistiquées et sont utilisés par bon nombre de
pirates. Aujourd’hui, nous voyons des centaines d’attaques basées sur Poison Ivy qui
ciblent des entreprises renommée ».

PoisonIvy a été utilisé dans plusieurs campagnes d’attaques de grande envergure, la
plus célèbre en date, reste le vol des données de la RSA SecurID 2011.La même année,
Poison Ivy avait également alimenté une attaque baptisée "Nitro" contre des
fabricants de produits chimiques, des administrations gouvernementales, des
entreprises du secteur de la défense ainsi que des associations de défense des
droits de l’homme.

Ce rapport identifie plusieurs acteurs qui utilisent actuellement Poison Ivy, à
différentes fins :

• admin @ 338 : Actif depuis 2008,il vise principalement le secteur de la finance.
FireEye a également observé qu’il était actif dans le secteur des télécoms, les
administrations gouvernementales mais aussi sur le secteur de la défense.

•th3bug : détecté pour la première fois en 2009,il cible actuellement uncertain
nombre d’industries, principalement l’éducation supérieure et la santé.

•menuPass : également détecté en 2009, il s’attaque aux acteurs privés de la défense.

En réponse à la résurgence de cette menace, FireEye a mis au point Calamine, une
solution permettant aux professionnels de la sécurité de définir des indicateurs
révélateurs d’une attaque basée sur Poison Ivy : mot de passe du pirate, contrôle du
trafic, chronologie de l’activité, … Le rapport explique par ailleurs comment
Calamine peut se connecter au malware et ainsi décrypter d’autres facettes de
l’attaque.

Des indicateurs particulièrement utiles quand ils sont corrélés avec d’autres
attaques qui présentent les mêmes caractéristiques. La combinaison de ces
informations granulaires dans un contexte global de connaissance de codes
malveillants peut aider à mieux appréhender ces menaces et ainsi améliorer la
sécurité des entreprises.


Voir les articles précédents

    

Voir les articles suivants