Darkhotel: CEO jefuiţi prin spionaj cibernetic

Victimele de obicei sunt clienţi care se cazează în hotelurile de lux, iar echipa din spatele campaniei nu atacă aceeași persoană de două ori. Operațiunile „Darkhotel” sunt executate cu precizie chirurgicală, obținând toate datele importante de la primul atac.

Ulterior, atacatorii își acoperă urmele și își sistează activitățile până când identifică următoarea țintă. Printre victime se află directoride corporații din SUA și Asia care investesc în regiunea APAC: CEO, vicepreședinți executivi, directori de vânzări și de marketing, precum și personal Reasearch&Development (R&D).

„În ultimii ani, Darkhotel a atacat cu succes oameni cu funcții importante, utilizând metode și tehnici mai avansate decât celeutilizate în atacurile tipice. Acest actor are competență operațională, capacități matematice și de analiză criptografică, precum și alte resurse capabile să infecteze rețele comerciale de încredere,vizând diferite categorii specifice de victime cu precizie strategică” susține Kurt Baumgartner, Principal Security Researcher la Kaspersky Lab.

„Darkhotel” – cum are loc atacul

Actorul Darkhotel are o metodă eficientă de pătrunde în rețelele hotelurilor, oferind atacatorilor un acces amplu și de lungă durată, vizând inclusiv sistemele considerate private și sigure. Atacatorii acționează când victimele se conectează la rețeaua Wi-Fi a hotelului, introducând numărul camerei și numele de familie pentru logare.

Citește și ÎNAINTE şi DUPĂ. Economia est-europeană prin prisma mişcărilor geopolitice

Infractorii cibernetici identifică victimele în momentul conectării la rețeaua compromisă și le solicită să descarce și să instaleze un backdoor sub forma unei actualizări pentru un software legitim – Google Toolbar, Adobe Flash sau Windows Messenger.

Victima descarcă pachetul, infectând dispozitivul cu un backdoor – software-ul de spionaj cibernetic Darkhotel.

În urma instalării, backdoor-ul poate fi utilizat pentru a descărca instrumente mai avansate cu scopul de a sustrage informații confidențiale: un key logger avansat cu semnătură digitală, troianul „Karba” și un modul specializat în extragerea de informații.

Aceste instrumente colectează date despre sistem și despre software-ul de securitate instalat, sustrag parolele salvate în Firefox, Chrome și Internet Explorer, Gmail Notifier, Twitter, Facebook; parolele de logare în conturile de Yahoo! și Google.

Citește și ”Vrei să faci business? Și aici ai nevoie de bune maniere”

Victimele riscă să piardă informații importante, precum fișiere proprietate intelectuală a organizațiilor pe care le reprezintă. După operațiune, atacatorii șterg instrumentele infiltrate în rețeaua hotelului și își sistează temporar operațiunile.

Metode de evitare ale atacurilor

În timpul călătoriilor, orice rețea, chiar și cele semi-private din hoteluri, poate fi periculoasă. Cazul Darkhotel ilustrează un vector de atac în plină evoluție: persoanele care posedă informații valoroase pot deveni cu ușurință victime Darkhotel, sau ale unei operațiuni similare. Pentru a preveni aceste amenințări, Kaspersky Lab recomandă:

Utilizează un furnizor Virtual Private Network (VPN) –vei avea un canal de comunicare criptat pentru accesarea rețelelor Wi-Fi publice sau semi-publice.

Când călătorești, consideră că orice actualizare de software este suspicioasă. Asigură-te că programul este dezvoltat de un furnizorde încredere.