Троянец удаленного доступа Poison Ivy («Ядовитый плющ») появился достаточно давно, но он все еще является любимым инструментом для целевых атак со стороны некоторых государств. Три группы хакеров, по сообщениям связанных с КНР и, возможно, совместно обученных и финансируемых, в данный момент проводят кампании по краже информации из организаций и отслеживанию действий физических лиц с использованием Poison Ivy.

Исследователи из FireEye заявили, что, несмотря на то что эти кампании нацелены на различные отрасли, в них применяются одни и те же инструменты, использованные пароли находятся в одной и той же семантической последовательности, а используемые фишинговые электронные письма написаны на английском языке с помощью клавиатур с китайской раскладкой. Обычно серьезные целевые атаки используют зловредов и уязвимости «нулевого дня», но не в этом случае.

«Вокруг этого инструмента построена развитая инфраструктура. Очевидно, что они обучили множество людей для того, чтобы работать с Poison Ivy, — заявил Дарен Киндлунд, руководитель службы разведки угроз в FireEye. — Он эффективен, и нет нужды менять тактику, поэтому они до сих пор его используют».

Киндлунд также сказал, что многие специалисты и отделы информационной безопасности компаний склонны недооценивать Poison Ivy, отрицая его эффективность как криминального инструмента и упуская его потенциал по заражению множества машин, так как он попросту идет в обход, отыскивая наиболее уязвимые машины или данные.

«Эти ребята применяют простой в использовании инструмент, они легко вписываются в киберкриминальные группы, легко смешиваются с шумом, и при обнаружении их присутствие не расценивается по достоинству. Одна зараженная машина не вызовет такой тревоги, как 50, это дает атакующим больше времени для изменения тактики и позволяет спокойно подобраться к другим компьютерам», — утверждает Киндлунд.

Другой причиной того, что атакующие до сих пор предпочитают Poison Ivy, является то, что, в отличие от Gh0stRAT или Dark Comet, обращения Poison Ivy к своей управляющей инфраструктуре сложно отследить.

«По сравнению с Gh0stRAT, который использует сжатие zlib для маскировки своих обращений, Poison Ivy применяет шифрование Camellia, что затрудняет сетевым администраторам выяснение того, что именно отправляется из их сети», — сказал Киндлунд.

Три атаки, проводимые в настоящее время, основаны на известных принципах. Первая, названная admin@338 из-за пароля, используемого атакующими, нацелена на международные финансовые компании, специализирующиеся на анализе глобальных или локальных экономических законов. Они используют вложения в электронные письма для заражения машин Poison Ivy, который, в свою очередь, загружает дополнительные зловреды, предназначенные для кражи данных. По словам Киндлунда, целью этого является извлечение геополитической либо рыночной выгоды из инсайдерской информации.

Вторая атака, названная th3bug также из-за пароля, фокусируется на образовательных учреждениях, международных медицинских организациях и высокотехнологичных компаниях для кражи интеллектуальной собственности или новых, еще не опубликованных результатов исследований. По большей части это были атаки методом водопоя (watering hole attack), когда региональный веб-сайт, часто посещаемый мишенями атаки, заражается, а с него на машины жертв загружается вредоносный код, который, в свою очередь, загружает Poison Ivy.

Третья атака, имеющее имя menuPass, самая активная из всех трех и началась еще в 2009 году, развив максимальную мощность в этом году. Она нацелена на оборонную промышленность и международные государственные агентства, ее задачей является кража военных тайн. Каналом распространения являлись фишинговые электронные письма с приложенным Poison Ivy,  изображающие заказ на закупку или коммерческое предложение, выглядящие достоверно для жертвы.

«Они сделали свое домашнее задание — они изучают связи жертв (к примеру, с кем данный подрядчик ведет дела) и присылают электронное письмо от имени реального партнера, — сказал Киндлунд. — Эти три группы явно связаны с Китаем. Они используют различные каналы управления и контроля, но источники атак явно находятся в той стране».

Тем временем появился бесплатный инструмент, основанный на комплекте с открытым кодом ChopShop, разработанным MITRE Corp. Этот модуль создан специально для борьбы с Poison Ivy и позволяет службам информационной безопасности и администраторам сетей декодировать трафик Poison Ivy.

Категории: Вредоносные программы, Главное, Кибероборона