New Media

Darkhotel: Cum actioneaza o echipa de spionaj de elita ce vaneaza manageri

12 Nov, 18:21 • Redactia DailyBusiness
Membrii Global Research and Analysis Team (GReAT) din cadrul Kaspersky Lab au analizat campania de spionaj cibernetic „Darkhotel", campanie activa de cel putin patru ani, prin care sunt sustrase informatii confidentiale de la directori de companii care calatoresc in strainatate.
Darkhotel: Cum actioneaza o echipa de spionaj de elita ce vaneaza manageri

„Darkhotel”
vizeaza victimele care se cazeaza in hoteluri de lux. Echipa din
spatele campaniei nu ataca aceeasi persoana de doua ori; operatiunile
„Darkhotel” sunt executate cu precizie chirurgicala, obtinand
toate datele importante de la primul atac.

Ulterior, atacatorii isi
acopera urmele si isi sisteaza activitatile pana cand identifica
urmatoarea tinta. Printre victime se afla directori de corporatii din
SUA si Asia care investesc in regiunea APAC: CEOs, vicepresedinti
executivi, directori de vanzari si de marketing, precum si personal
Reasearch & Development (R&D). Cine urmeaza? Acesta
amenintare este
inca activa, avertizeaza Kaspersky Lab. 

Metoda de lucru „Darkhotel”

Actorul Darkhotel
are o metoda eficienta de patrunde in
retelele hotelurilor, oferind atacatorilor un acces amplu si de lunga
durata, vizand inclusiv sistemele considerate private si sigure.

Atacatorii actioneaza cand victimele se conecteaza la reteaua Wi-Fi a
hotelului, introducand numarul camerei si numele de familie pentru
logare.

Infractorii cibernetici identifica victimele in momentul
conectarii la reteaua compromisa si le solicita sa descarce si sa
instaleze un backdoor sub forma unei actualizari pentru un software
legitim – Google Toolbar, Adobe Flash sau Windows Messenger.
Victima descarca pachetul, infectand dispozitivul cu un backdoor –
software-ul de spionaj cibernetic Darkhotel.

In urma instalarii,
backdoor-ul poate fi utilizat pentru a descarca instrumente mai
avansate cu scopul de a sustrage informatii confidentiale: un
keylogger avansat cu semnatura digitala, troianul „Karba” si un
modul specializat in extragerea de informatii.

Aceste instrumente
colecteaza date despre sistem si despre software-ul de securitate
instalat, sustrag parolele salvate in Firefox, Chrome si Internet
Explorer, Gmail Notifier, Twitter, Facebook; parolele de logare in
conturile de Yahoo! si Google; precum si alte informatii
confidentiale. Victimele risca sa piarda informatii importante,
precum fisiere proprietate intelectuala a organizatiilor pe care le
reprezinta. Dupa operatiune, atacatorii sterg instrumentele
infiltrate in reteaua hotelului si isi sisteaza temporar
operatiunile.

„In ultimii ani,
Darkhotel a atacat cu succes oameni cu functii importante, utilizand
metode si tehnici mai avansate decat cele utilizate in atacurile
tipice,” sustine Kurt Baumgartner, Principal Security Researcher la
Kaspersky Lab.

„Acest actor are competenta operationala, capacitati
matematice si de analiza criptografica, precum si alte resurse
capabile sa infecteze retele comerciale de incredere, vizand diferite
categorii specifice de victime cu precizie strategica”, incheie
Kurt Baumgartner.

Totusi, activitatea
periculoasa Darkhotel poate parea inconsistenta: campania nu vizeaza
doar o anumita categorie de
victime cand distribuie malware-ul.

„Mixul dintre
atacurile specifice si atacurile la intamplare devine din ce in ce
mai uzual in peisajul APT (Advanced Persistent Threat), unde
atacurile specifice sunt utilizate pentru a compromite victimele
importante, iar operatiunile de tip botnet sunt utilizate pentru
supravegherea in masa a utilizatorilor sau pentru alte activitati
ostile, cum ar fi cele de DdoS, sau pentru utilizarea unor
instrumente sofisticate de spionaj cibernetic in cazul victimelor de
interes,” adauga Kurt Baumgartner.

Cercetatorii
Kaspersky Lab au descoperit intr-un string al codului periculos
Darkhotel, o urma care indica un vorbitor de limba coreeana.
Produsele Kaspersky Lab detecteaza si neutralizeaza programele
periculoase si variantele utilizate in setul de instrumente
Darkhotel. Kaspersky Lab colaboreaza cu multiple organizatii de
profil pentru a rezolva cazul Darkhotel.

Cum sa eviti atacurile Darkhotel

In timpul
calatoriilor, orice retea, chiar si cele semi-private din hoteluri,
poate fi periculoasa. Cazul Darkhotel ilustreaza un vector de atac in
plina evolutie: persoanele care poseda informatii valoroase pot
deveni cu usurinta victime Darkhotel, sau ale unei operatiuni
similare.

Pentru a preveni aceste amenintari, Kaspersky Lab
recomanda:

  • Utilizeaza un
    furnizor Virtual Private Network (VPN) – vei avea un canal de
    comunicare criptat pentru accesarea retelelor Wi-Fi publice sau
    semi-publice;
  • Cand
    calatoresti, considera ca orice actualizare de software este
    suspicioasa. Asigura-te ca programul este dezvoltat de un furnizor
    de incredere;
  • Asigura-te ca
    solutia ta de securitate ofera protectie si impotriva amenintarilor
    nou dezvoltate, si nu doar protectie antivirus de baza;

Raportul integral
despre actorul APT (Advanced Persistent Threat) Darkhotel se afla pe
Securelist, precum si videoclipul aditional.