Инструмент Poison Ivy использовался для взлома сайта израильского исследовательского института

Эксперты из компании Websense сообщают, что официальный сайт израильского Института исследований национальной безопасности (INSS) был взломан, и управлялся злоумышленниками при помощи инструмента удаленного администрирования Poison Ivy.

Как отмечается на главной странице сайта, INSS является «независимым академическим институтом, который изучает ключевые вопросы относительно национальной безопасности Израиля и событий на Ближнем Востоке». Свой вклад в работу института делают ученые, которые имеют отношение к военным учреждениям, а также правительству.

По данным Websense, на главную страницу сайта был помещен вредоносный Javascript-код, который загружает Java-эксплоит.

Пока происходит загрузка главной страницы сайта, пользователей перенаправляют на страницу с экплоитом. Когда эксплоит выполняет все необходимые действия, на компьютер пользователя загружается и запускается файл svchost.exe. Этот файл является версией Poison Ivy, который автоматически подключается к командному DNS-серверу, и позволяет злоумышленнику удаленно управлять целевым компьютером.

«Интересным является то, что эта инфекция использует тот же Java-эксплоит (CVE-2012-0507), которым было заражено около 600 тыс. компьютеров Mac, во время атаки вируса Flashback», - заявляют эксперты.

В Websense отмечают, что в последние месяцы израильские web-сайты часто становились жертвами хакерских атак. Эксперты заявляют, что атака на INSS могла быть частью организованной киберкампании.

Подробную информацию можно найти здесь.