FireEye Studie: Remote Angriffe via Poison Ivy

FireEye Studie: Remote Angriffe via Poison Ivy

Neue Angriffe per Fernzugriff auf Finanzunternehmen, Regierungen und Rüstungsindustrie

MILPITAS, Calif., 26. August 2013 – FireEye, das führende Unternehmen beim Schutz vor Next-Generation Cyber-Threats, hat heute die Ergebnisse einer Studie mit dem Titel “Poison Ivy: Assessing Damage and Extracting Intelligence” veröffentlicht. Die Studie hebt die “Wiederauferstehung” von Poison Ivy hervor. Dabei handelt es sich um ein schädliches Remote Access Tool (RAT), das immer noch sehr beliebt und effektiv ist – selbst acht Jahre nach seinem Ersteinsatz. Dutzende Unternehmen aus den Fortune 500 wurden und werden immer noch damit angegriffen. “Wenn man bedenkt, dass jedes dieser Unternehmen über eine umfassende IT-Infrastruktur und große Mengen an Daten von Kunden aus aller Welt verfügt, kann man dies durchaus als konkrete Bedrohung bezeichnen,” kommentiert Alexander Bünning, Regional Director DACH bei FireEye, die Untersuchung. Im Rahmen dieser Studie veröffentlicht FireEye ‘Calamine’ ein Set von kostenfreien Tools, die Unternehmen und Organisationen dabei helfen, Poison Ivy auf ihren Systemen aufzuspüren.

“Man könnte Remote Access Tools auch als die Stützräder der Hacker bezeichnen. Sie dienen als Einstieg”, sagt Darien Kindlund, Manager für Threat Intelligence bei FireEye. “Es wäre aber ein Fehler, diese doch eher gewöhnliche Art von Malware nicht ernst zu nehmen. Entgegen ihrem Ruf als Software-Spielzeug für unerfahrene Hacker sind sie nach wie vor Dreh- und Angelpunkt bei vielen anspruchsvollen Cyber-Angriffen. Sie werden von einigen Cyberkriminellen in großem Umfang eingesetzt. Heutzutage beobachten wir hunderte von Angriffen auf große Unternehmen, bei denen Poison Ivy zum Einsatz kommt.”

Poison Ivy wurde in vielen großen Angriffskampagnen genutzt, wie zum Beispiel 2011, als Daten von RSA SecureID gefährdet waren. Im selben Jahr kam es mit Poison Ivy zu einem koordinierten Angriff auf Chemieunternehmen, Regierungsbüros, Rüstungsunternehmen und Organisationen für Menschenrechte – bekannt wurde der Angriff als “Nitro”.

Die FireEye Studie identifiziert mehrere aktive Größen aus der Hacking-Szene, die aktuell Poison Ivy nutzen. Dazu gehören:

  • admin@338: Seit 2008 zielt dieser Hacker hauptsächlich auf die Finanzindustrie ab. Außerdem wurden Aktivitäten im Bereich Telekommunikation, Regierung und Verteidigung beobachtet.
  • th3bug: Wurde 2009 entdeckt. FireEye hat festgestellt, dass dieser Hacker auf zahlreiche Branchen abzielt. Er fokussiert sich auf Hochschulen und den Gesundheits-Sektor.
  • menuPass: Wurde ebenfalls 2009 entdeckt. FireEye geht davon aus, dass dieser Hacker Rüstungsunternehmen im Visier hat.

Mit dem Calamine-Paket von FireEye können Security-Verantwortliche Angriffe durch Poison Ivy identifizieren. Unter anderem geschieht dies durch die Erkennung des Poison Ivy-typischen Prozess-Mutex sowie durch Dekodierung des Command and Control-Traffic zur Daten-Exfiltration/lateralen Bewegungsaufnahme von Poison Ivy-Aktivitäten. Die FireEye-Studie erklärt, wie Calamine diese und weitere Facetten des Angriffs erkennt und in Verbindung setzt.

Die vollständige Studie finden Sie hier: http://www.fireeye.com/resources/pdfs/fireeye-poison-ivy-report.pdf

Über FireEye
FireEye® ist Pionier im Bereich Next-Generation Threat Protection und bietet Unternehmen lückenlosen Schutz vor Cyberangriffen. Das innovative Sicherheitsmodell von FireEye ergänzt herkömmliche Sicherheitslösungen, um neuartige Cyberangriffe wirkungsvoller zu bekämpfen. Die einzigartige FireEye-Plattform kann Cyberangriffe dank Next-Generation Threat Protection dynamisch identifizieren und in Echtzeit abwehren. Das Herzstück der FireEye Plattform ist die signaturunabhängige Virtual Execution Engine und das Cloud Threat Intelligence Network. Die FireEye Plattform kommt bei über 1.000 Kunden und Partnern in mehr als 40 Ländern zum Einsatz. Darunter sind 25 Prozent der Fortune-100-Unternehmen.

Zum Portfolio von FireEye gehören das Web Malware Protection System, Email Malware Protection System (MPS), File Malware Protection System und Malware Analysis System. Das Central Management System bildet die Schaltzentrale der gesamten MPS-Umgebung und umfasst die Berichterstellung, Konfiguration und Weitergabe von Bedrohungsdaten. Jedes dieser Systeme kann direkt oder über ein CMS Verbindung mit der Dynamic Threat Intelligence Cloud aufnehmen, die globale Bedrohungsdaten zur Abwehr neuer Zero-Day-Angriffe bereitstellt. Das FireEye Malware Protection System ist die einzige Komplettlösung, die Web- oder E-Mail-gestützte Advanced Targeted Attacks sowie dateibasierte Malware abwehren kann. Die Lösungen von FireEye ergänzen herkömmliche und Next-Generation-Firewalls sowie Intrusion-Prevention-Systeme, Antiviruslösungen und Gateways, die gegen Advanced Malware machtlos sind.