Darkhotel atakuje biznesmenów, gdy przebywają w luksusowych hotelach, a cyberprzestępcy nigdy nie biorą na cel dwa razy tej samej osoby. Ataki przeprowadzane są z chirurgiczną precyzją i polegają na wydobywaniu poufnych informacji z komputerów dyrektorów, a po zakończeniu operacji ślady szkodliwej aktywności są usuwane. Najnowsze cele ataków obejmują dyrektorów firm ze Stanów Zjednoczonych i Azji robiących interesy w regionie Azji i Pacyfiku. Kaspersky Lab potwierdza, że kampania jest ciągle aktywna.
Jak działa Darkhotel
Osoby stojące za kampanią przechowują w sieciach hotelowych własny zestaw narzędzi, które dają im łatwy dostęp nawet do systemów powszechnie uważanych za bezpieczne. Atakujący czekają, aż po zameldowaniu ofiara połączy się z hotelową siecią Wi-Fi, podając numer pokoju oraz nazwisko jako login. Przestępcy widzą, że ofiara pojawiła się w sieci i nakłaniają ją do pobrania oraz zainstalowania konia trojańskiego, który udaje uaktualnienie dla popularnego oprogramowania – Google Toolbar, Adobe Flash lub Windows Messenger. Niepodejrzewający niczego biznesmen pobiera ten „pakiet powitalny” i infekuje swój komputer oprogramowaniem szpiegującym.
Pobrany na maszynę trojan pomaga atakującym w instalowaniu dalszych narzędzi – podpisanego cyfrowo zaawansowanego keyloggera (trojan Karba), który przechwytuje wszystkie znaki wprowadzane z klawiatury, oraz modułu kradnącego informacje. Aplikacje te gromadzą dane o systemie i zainstalowanych narzędziach bezpieczeństwa, a dodatkowo polują na hasła zapisane w przeglądarkach Firefox, Chrome, Internet Explorer, dane logowania z usług Gmail Notifier, Twitter, Facebook, Yahoo!, Google i inne poufne informacje. Ofiary mogą stracić wiele delikatnych danych, łącznie z własnością firm, które reprezentują. Po zakończeniu operacji atakujący skrzętnie usuwają swoje narzędzia z sieci hotelowej i cierpliwie oczekują na kolejną ofiarę.
Komentując zagrożenie Darkhotel, Kurt Baumgartner, główny badacz ds. bezpieczeństwa, Kaspersky Lab, powiedział: „Przez ostatnie siedem lat osoby stojące za kampanią Darkhotel przeprowadziły wiele skutecznych ataków na szereg różnych ofiar z całego świata, stosując metody i techniki wykraczające poza typowe zachowania cyberprzestępcze. Atakujący posiadają kompetencje operacyjne, matematyczne i cyberanalityczne zdolności ofensywne oraz inne zasoby, dzięki którym mogą wykorzystać zaufane sieci komercyjne oraz atakować ze strategiczną precyzją określone kategorie ofiar”.
Darkhotel może wydawać się niekonsekwentny pod względem swojej szkodliwej aktywności: z jednej strony nie stosuje selekcji celów podczas rozprzestrzeniania szkodliwego oprogramowania, z drugiej – przeprowadza wysoce ukierunkowane ataki. Szczegóły dotyczące wektorów ataków wykorzystywanych w kampanii znajdują się w pełnym raporcie Kaspersky Lab, dostępnym w języku angielskim na stronie r.kaspersky.pl/darkhotel.
„Połączenie ataków ukierunkowanych z masowymi staje się coraz częstszym zjawiskiem na scenie długotrwałych kampanii cyberszpiegowskich. Te pierwsze są wykorzystywane w celu uzyskania dostępu do systemów znanych celów, natomiast masowe operacje wykorzystujące botnety służą do szpiegostwa, przeprowadzania ataków DDoS na wrogów lub po prostu instalowania w systemach ofiar bardziej zaawansowanych narzędzi szpiegowskich” – dodał Kurt Baumgartner.
Eksperci z Kaspersky Lab wykryli ślad pozostawiony przez atakujących w kodzie szkodliwych programów kampanii Darkhotel, który może wskazywać na koreańskie pochodzenie cyberprzestępców. Produkty Kaspersky Lab wykrywają i neutralizują wszystkie szkodliwe programy działające w ramach operacji Darkhotel. Specjaliści z Kaspersky Lab współpracują obecnie z wieloma organizacjami na świecie, by wyeliminować to zagrożenie.
Jak nie stać się ofiarą zagrożenia Darkhotel
Podczas podróży należy traktować jako potencjalnie niebezpieczne nie tylko sieci publiczne, ale nawet te na wpół prywatne (jak np. w hotelach czy centrach biznesowych). Zagrożenie Darkhotel ilustruje ewoluujący wektor zagrożeń, gdzie ofiarami są osoby, które posiadają cenne informacje. Kaspersky Lab zaleca stosowanie się do następujących wskazówek:
- Korzystaj z połączenia VPN, które zapewnia szyfrowaną transmisję danych, podczas uzyskiwania dostępu do publicznych lub na wpół publicznych sieci Wi-Fi.
- Podczas wyjazdów zawsze traktuj aktualizacje oprogramowania z podejrzliwością – zadbaj o instalację wszystkich uaktualnień przed podróżą.
- Zainstaluj wysokiej jakości oprogramowanie bezpieczeństwa internetowego: upewnij się, że oprócz podstawowej ochrony antywirusowej zawiera również ochronę proaktywną przed nowymi zagrożeniami.
Pełny raport poświęcony zagrożeniu Darkhotel jest dostępny w języku angielskim na stronie r.kaspersky.pl/darkhotel.
