„Darkhotel” - zagrożenie szpiegujące biznesmenów w hotelach

Najnowsze cele ataków obejmują dyrektorów firm ze Stanów Zjednoczonych i Azji robiących interesy w regionie Azji i Pacyfiku. Kaspersky Lab potwierdza, że kampania jest ciągle aktywna. Jak działa "Darkhotel"?

Osoby stojące za kampanią przechowują w sieciach hotelowych własny zestaw narzędzi, które dają im łatwy dostęp nawet do systemów powszechnie uważanych za bezpieczne. Atakujący czekają, aż po zameldowaniu ofiara połączy się z hotelową siecią Wi-Fi, podając numer pokoju oraz nazwisko jako login. Przestępcy widzą, że ofiara pojawiła się w sieci i nakłaniają ją do pobrania oraz zainstalowania konia trojańskiego, który udaje uaktualnienie dla popularnego oprogramowania – Google Toolbar, Adobe Flash lub Windows Messenger. Niepodejrzewający niczego biznesmen pobiera ten „pakiet powitalny” i infekuje swój komputer oprogramowaniem szpiegującym.

Pobrany na maszynę trojan pomaga atakującym w instalowaniu dalszych narzędzi – podpisanego cyfrowo zaawansowanego keyloggera (trojan Karba), który przechwytuje wszystkie znaki wprowadzane z klawiatury, oraz modułu kradnącego informacje. Aplikacje te gromadzą dane o systemie i zainstalowanych narzędziach bezpieczeństwa, a dodatkowo polują na hasła zapisane w przeglądarkach Firefox, Chrome, Internet Explorer, dane logowania z usług Gmail Notifier, Twitter, Facebook, Yahoo!, Google i inne poufne informacje. Ofiary mogą stracić wiele delikatnych danych, łącznie z własnością firm, które reprezentują. Po zakończeniu operacji atakujący skrzętnie usuwają swoje narzędzia z sieci hotelowej i cierpliwie oczekują na kolejną ofiarę.

Komentując zagrożenie, Kurt Baumgartner, główny badacz ds. bezpieczeństwa, Kaspersky Lab, powiedział: „Przez ostatnie siedem lat osoby stojące za kampanią "Darkhotel" przeprowadziły wiele skutecznych ataków na szereg różnych ofiar z całego świata, stosując metody i techniki wykraczające poza typowe zachowania cyberprzestępcze. Atakujący posiadają kompetencje operacyjne, matematyczne i cyberanalityczne zdolności ofensywne oraz inne zasoby, dzięki którym mogą wykorzystać zaufane sieci komercyjne oraz atakować ze strategiczną precyzją określone kategorie ofiar”.

"Darkhotel" może wydawać się niekonsekwentny pod względem swojej szkodliwej aktywności: z jednej strony nie stosuje selekcji celów podczas rozprzestrzeniania szkodliwego oprogramowania, z drugiej – przeprowadza wysoce ukierunkowane ataki. „Połączenie ataków ukierunkowanych z masowymi staje się coraz częstszym zjawiskiem na scenie długotrwałych kampanii cyberszpiegowskich. Te pierwsze są wykorzystywane w celu uzyskania dostępu do systemów znanych celów, natomiast masowe operacje wykorzystujące botnety służą do szpiegostwa, przeprowadzania ataków DDoS na wrogów lub po prostu instalowania w systemach ofiar bardziej zaawansowanych narzędzi szpiegowskich” – dodał Kurt Baumgartner. Eksperci wykryli ślad pozostawiony przez atakujących w kodzie szkodliwych programów kampanii "Darkhotel", który może wskazywać na koreańskie pochodzenie cyberprzestępców.

Jak nie stać się ofiarą zagrożenia "Darkhotel"?

Podczas podróży należy traktować jako potencjalnie niebezpieczne nie tylko sieci publiczne, ale nawet te na wpół prywatne (jak np. w hotelach czy centrach biznesowych). Zagrożenie Darkhotel ilustruje ewoluujący wektor zagrożeń, gdzie ofiarami są osoby, które posiadają cenne informacje. Kaspersky Lab zaleca stosowanie się do następujących wskazówek:

- Korzystaj z połączenia VPN, które zapewnia szyfrowaną transmisję danych, podczas uzyskiwania dostępu do publicznych lub na wpół publicznych sieci Wi-Fi.

- Podczas wyjazdów zawsze traktuj aktualizacje oprogramowania z podejrzliwością – zadbaj o instalację wszystkich uaktualnień przed podróżą.

- Zainstaluj wysokiej jakości oprogramowanie bezpieczeństwa internetowego: upewnij się, że oprócz podstawowej ochrony antywirusowej zawiera również ochronę proaktywną przed nowymi zagrożeniami.