Articles Communiqués


FireEye, Inc., le spécialiste de la lutte contre les cyber-attaques de nouvelle génération, publie aujourd'hui son rapport "Poison Ivy: évaluation des dommages et extraction de l'intelligence". Celui-ci met en évidence le retour de Poison Ivy, un logiciel malveillant d'accès à distance. Resté populaire et efficace huit ans après sa première apparition, il a à son actif plusieurs dizaines d'attaques contre des entreprises du "Fortune 1000".

Conjointement avec ses équipes de recherche, FireEye lance en parallèle Calamine, un ensemble d'outils gratuits pour aider les entreprises à détecter d'éventuelles infections de ce malware.

« Les outils d'accès à distance peuvent être considérés comme l'équivalent des " petites roues" des pirates », déclare Darien Kindlund, Directeur du renseignement sur les menaces chez FireEye. « Néanmoins négliger ce type commun de malware pourrait coûter cher. Malgré leur réputation de logiciels pour pirates débutants - ils restent la clé de voûte de nombreuses attaques sophistiquées et sont utilisés par bon nombre pirates. Aujourd'hui, nous voyons des centaines d'attaques basées sur Poison Ivy qui ciblent des entreprises renommée ».

Poison Ivya été utilisé dans plusieurs campagnes d'attaques de grande envergure, la plus célèbre en date, reste le vol des données de la RSA Secur ID 2011.La même année, Poison Ivy avait également alimenté une attaque baptisée "Nitro" contre des fabricants de produits chimiques, des administrations gouvernementales, des entreprises du secteur de la défense ainsi que des associations de défense des droits de l'homme.

Ce rapport identifie plusieurs acteurs qui utilisent actuellement Poison Ivy, à différentes fins :

  • admin@ 338 : Actif depuis 2008,il vise principalement le secteur de la finance. FireEye a également observé qu'il était actif dans le secteur des télécoms, les administrations gouvernementales mais aussi sur le secteur de la défense.
  • th3bug: détecté pour la première fois en 2009,il cible actuellement un certain nombre d'industries, principalement l'éducation supérieure et la santé.
  • menuPass: également détecté en 2009, il s'attaque aux acteurs privés de la défense.

En réponse à la résurgence de cette menace, FireEye a mis au point Calamine, une solution permettant aux professionnels de la sécurité de définir des indicateurs révélateurs d'une attaque basée sur Poison Ivy : mot de passe du pirate, contrôle du trafic, chronologie de l'activité, … Le rapport explique par ailleurs comment Calamine peut se connecter au malware et ainsi décrypter d'autres facettes de l'attaque.

Des indicateurs particulièrement utiles quand ils sont corrélés avec d'autres attaques qui présentent les mêmes caractéristiques. La combinaison de ces informations granulaires dans un contexte global de connaissance de codes malveillants peut aider à mieux appréhender ces menaces et ainsi améliorer la sécurité des entreprises.

Pour télécharger l'intégralité du rapport : http://www.fireeye.com/resources/pdfs/fireeye-poison-ivy-report.pdf

Pour participer au webinar FireEye Labs qui expliquera comment mieux identifier ce type d'attaques : http://www2.fireeye.com/combatting-poison-ivy-attacks.html.



Autres Communiqués Sociétés, Etudes, webinars


Gros Boutons Partenaires

Partenaires Mag-Securs