Kaspersky Lab informeaza despre campania „Darkhotel” in care directori de companii devin victime ale unei echipe de spionaj de elita
Membrii Global Research and Analysis Team (GReAT) din cadrul Kaspersky Lab au analizat campania de spionaj cibernetic „Darkhotel”, campanie activa de cel putin patru ani, prin care sunt sustrase informatii confidentiale de la directori de companii care calatoresc in strainatate. „Darkhotel” vizeaza victimele care se cazeaza in hoteluri de lux. Echipa din spatele campaniei nu ataca aceeasi persoana de doua ori; operatiunile „Darkhotel” sunt executate cu precizie chirurgicala, obtinand toate datele importante de la primul atac. Ulterior, atacatorii isi acopera urmele si isi sisteaza activitatile pana cand identifica urmatoarea tinta. Printre victime se afla directori de corporatii din SUA si Asia care investesc in regiunea APAC: CEOs, vicepresedinti executivi, directori de vanzari si de marketing, precum si personal Reasearch & Development (R&D). Cine urmeaza? Acesta amenintare este inca activa, avertizeaza Kaspersky Lab.
Metoda de lucru „Darkhotel”
Actorul Darkhotel are o metoda eficienta de patrunde in retelele hotelurilor, oferind atacatorilor un acces amplu si de lunga durata, vizand inclusiv sistemele considerate private si sigure. Atacatorii actioneaza cand victimele se conecteaza la reteaua Wi-Fi a hotelului, introducand numarul camerei si numele de familie pentru logare. Infractorii cibernetici identifica victimele in momentul conectarii la reteaua compromisa si le solicita sa descarce si sa instaleze un backdoor sub forma unei actualizari pentru un software legitim – Google Toolbar, Adobe Flash sau Windows Messenger. Victima descarca pachetul, infectand dispozitivul cu un backdoor - software-ul de spionaj cibernetic Darkhotel.
In urma instalarii, backdoor-ul poate fi utilizat pentru a descarca instrumente mai avansate cu scopul de a sustrage informatii confidentiale: un keylogger avansat cu semnatura digitala, troianul „Karba” si un modul specializat in extragerea de informatii. Aceste instrumente colecteaza date despre sistem si despre software-ul de securitate instalat, sustrag parolele salvate in Firefox, Chrome si Internet Explorer, Gmail Notifier, Twitter, Facebook; parolele de logare in conturile de Yahoo! si Google; precum si alte informatii confidentiale. Victimele risca sa piarda informatii importante, precum fisiere proprietate intelectuala a organizatiilor pe care le reprezinta. Dupa operatiune, atacatorii sterg instrumentele infiltrate in reteaua hotelului si isi sisteaza temporar operatiunile.
„In ultimii ani, Darkhotel a atacat cu succes oameni cu functii importante, utilizand metode si tehnici mai avansate decat cele utilizate in atacurile tipice,” sustine Kurt Baumgartner, Principal Security Researcher la Kaspersky Lab. „Acest actor are competenta operationala, capacitati matematice si de analiza criptografica, precum si alte resurse capabile sa infecteze retele comerciale de incredere, vizand diferite categorii specifice de victime cu precizie strategica”, incheie Kurt Baumgartner.
Totusi, activitatea periculoasa Darkhotel poate parea inconsistenta: campania nu vizeaza doar o anumita categorie de victime cand distribuie malware-ul. Cititi mai multe despre vectorii diferiti de atac aici.
„Mixul dintre atacurile specifice si atacurile la intamplare devine din ce in ce mai uzual in peisajul APT (Advanced Persistent Threat), unde atacurile specifice sunt utilizate pentru a compromite victimele importante, iar operatiunile de tip botnet sunt utilizate pentru supravegherea in masa a utilizatorilor sau pentru alte activitati ostile, cum ar fi cele de DdoS, sau pentru utilizarea unor instrumente sofisticate de spionaj cibernetic in cazul victimelor de interes,” adauga Kurt Baumgartner.
Cercetatorii Kaspersky Lab au descoperit intr-un string al codului periculos Darkhotel, o urma care indica un vorbitor de limba coreeana. Produsele Kaspersky Lab detecteaza si neutralizeaza programele periculoase si variantele utilizate in setul de instrumente Darkhotel. Kaspersky Lab colaboreaza cu multiple organizatii de profil pentru a rezolva cazul Darkhotel.
Cum sa eviti atacurile Darkhotel
In timpul calatoriilor, orice retea, chiar si cele semi-private din hoteluri, poate fi periculoasa. Cazul Darkhotel ilustreaza un vector de atac in plina evolutie: persoanele care poseda informatii valoroase pot deveni cu usurinta victime Darkhotel, sau ale unei operatiuni similare. Pentru a preveni aceste amenintari, Kaspersky Lab recomanda:
- Utilizeaza un furnizor Virtual Private Network (VPN) – vei avea un canal de comunicare criptat pentru accesarea retelelor Wi-Fi publice sau semi-publice;
- Cand calatoresti, considera ca orice actualizare de software este suspicioasa. Asigura-te ca programul este dezvoltat de un furnizor de incredere;
- Asigura-te ca solutia ta de securitate ofera protectie si impotriva amenintarilor nou dezvoltate, si nu doar protectie antivirus de baza;
- Pentru mai multe recomandari, acceeaza http://cybersmart.kaspersky.com/privacy
Raportul integral despre actorul APT (Advanced Persistent Threat) Darkhotel se afla pe Securelist, precum si videoclipul aditional.
