„Darkhotel” – zagrożenie szpiegujące przedstawicieli firm przebywających w hotelach

10 listopada, 2014

Eksperci z Kaspersky Lab ujawnili informacje o zagrożeniu „Darkhotel” – aktywnej od przynajmniej czterech lat kampanii cyberszpiegowskiej, której celem są ściśle wyselekcjonowani dyrektorzy korporacji podróżujący po świecie. Darkhotel atakuje biznesmenów, gdy przebywają w luksusowych hotelach, a cyberprzestępcy nigdy nie biorą na cel dwa razy tej samej osoby. Ataki przeprowadzane są z chirurgiczną precyzją i polegają na wydobywaniu poufnych informacji z komputerów dyrektorów, a po zakończeniu operacji ślady szkodliwej aktywności są usuwane. Najnowsze cele ataków obejmują dyrektorów firm ze Stanów Zjednoczonych i Azji robiących interesy w regionie Azji i Pacyfiku. Kaspersky Lab potwierdza, że kampania jest ciągle aktywna.

Jak działa Darkhotel

Osoby stojące za kampanią przechowują w sieciach hotelowych własny zestaw narzędzi, które dają im łatwy dostęp nawet do systemów powszechnie uważanych za bezpieczne. Atakujący czekają, aż po zameldowaniu ofiara połączy się z hotelową siecią Wi-Fi, podając numer pokoju oraz nazwisko jako login. Przestępcy widzą, że ofiara pojawiła się w sieci i nakłaniają ją do pobrania oraz zainstalowania konia trojańskiego, który udaje uaktualnienie dla popularnego oprogramowania – Google Toolbar, Adobe Flash lub Windows Messenger. Niepodejrzewający niczego biznesmen pobiera ten „pakiet powitalny” i infekuje swój komputer oprogramowaniem szpiegującym.
klp darkhotel infografika

Pobrany na maszynę trojan pomaga atakującym w instalowaniu dalszych narzędzi – podpisanego cyfrowo zaawansowanego keyloggera (trojan Karba), który przechwytuje wszystkie znaki wprowadzane z klawiatury, oraz modułu kradnącego informacje. Aplikacje te gromadzą dane o systemie i zainstalowanych narzędziach bezpieczeństwa, a dodatkowo polują na hasła zapisane w przeglądarkach Firefox, Chrome, Internet Explorer, dane logowania z usług Gmail Notifier, Twitter, Facebook, Yahoo!, Google i inne poufne informacje. Ofiary mogą stracić wiele delikatnych danych, łącznie z własnością firm, które reprezentują. Po zakończeniu operacji atakujący skrzętnie usuwają swoje narzędzia z sieci hotelowej i cierpliwie oczekują na kolejną ofiarę.

Komentując zagrożenie Darkhotel, Kurt Baumgartner, główny badacz ds. bezpieczeństwa, Kaspersky Lab, powiedział: „Przez ostatnie siedem lat osoby stojące za kampanią Darkhotel przeprowadziły wiele skutecznych ataków na szereg różnych ofiar z całego świata, stosując metody i techniki wykraczające poza typowe zachowania cyberprzestępcze. Atakujący posiadają kompetencje operacyjne, matematyczne i cyberanalityczne zdolności ofensywne oraz inne zasoby, dzięki którym mogą wykorzystać zaufane sieci komercyjne oraz atakować ze strategiczną precyzją określone kategorie ofiar”.

Darkhotel może wydawać się niekonsekwentny pod względem swojej szkodliwej aktywności: z jednej strony nie stosuje selekcji celów podczas rozprzestrzeniania szkodliwego oprogramowania, z drugiej – przeprowadza wysoce ukierunkowane ataki. Szczegóły dotyczące wektorów ataków wykorzystywanych w kampanii znajdują się w pełnym raporcie Kaspersky Lab, dostępnym w języku angielskim na stronie http://r.kaspersky.pl/darkhotel.

„Połączenie ataków ukierunkowanych z masowymi staje się coraz częstszym zjawiskiem na scenie długotrwałych kampanii cyberszpiegowskich. Te pierwsze są wykorzystywane w celu uzyskania dostępu do systemów znanych celów, natomiast masowe operacje wykorzystujące botnety służą do szpiegostwa, przeprowadzania ataków DDoS na wrogów lub po prostu instalowania w systemach ofiar bardziej zaawansowanych narzędzi szpiegowskich” – dodał Kurt Baumgartner.       

Eksperci z Kaspersky Lab wykryli ślad pozostawiony przez atakujących w kodzie szkodliwych programów kampanii Darkhotel, który może wskazywać na koreańskie pochodzenie cyberprzestępców. Produkty Kaspersky Lab wykrywają i neutralizują wszystkie szkodliwe programy działające w ramach operacji Darkhotel. Specjaliści z Kaspersky Lab współpracują obecnie z wieloma organizacjami na świecie, by wyeliminować to zagrożenie.

Jak nie stać się ofiarą zagrożenia Darkhotel

Podczas podróży należy traktować jako potencjalnie niebezpieczne nie tylko sieci publiczne, ale nawet te na wpół prywatne (jak np. w hotelach czy centrach biznesowych). Zagrożenie Darkhotel ilustruje ewoluujący wektor zagrożeń, gdzie ofiarami są osoby, które posiadają cenne informacje. Kaspersky Lab zaleca stosowanie się do następujących wskazówek:     

  • Korzystaj z połączenia VPN, które zapewnia szyfrowaną transmisję danych, podczas uzyskiwania dostępu do publicznych lub na wpół publicznych sieci Wi-Fi.
  • Podczas wyjazdów zawsze traktuj aktualizacje oprogramowania z podejrzliwością – zadbaj o instalację wszystkich uaktualnień przed podróżą.
  • Zainstaluj wysokiej jakości oprogramowanie bezpieczeństwa internetowego: upewnij się, że oprócz podstawowej ochrony antywirusowej zawiera również ochronę proaktywną przed nowymi zagrożeniami.

Pełny raport poświęcony zagrożeniu Darkhotel jest dostępny w języku angielskim na stronie http://r.kaspersky.pl/darkhotel. Dostępny jest także krótki film opisujący mechanizm ataku: http://youtu.be/HQpGzivvtqg.

źródło: Kaspersky Lab

Czy ten artykuł był pomocny?

Oceniono: 0 razy

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]