Группа, названный Darkhotel, проникает через сети отеля для захватывания компьютеров предназначенных руководителей и затем стирает его цифровые пути, по данным фирмы безопасности Kaspersky Lab.Кибершпионская группа поставила под угрозу компьютерные системы корпоративных руководителей, заразив сети отелей, где они обычно остаются и затем подавать вредоносное программное обеспечение, в то время как они соединились с Интернетом, согласно расследованию, опубликованному фирмой безопасности Kaspersky Lab 10 ноября.
Группа, которую Kaspersky назвал «Darkhotel», успешно предназначалась для генеральных директоров, директоров по сбыту и маркетингу и главного R&D штата, перемещающегося в Азиатско-Тихоокеанском регионе. В то время как большинство нападений, кажется, предназначалось для профессионалов в Японии, деловые люди, перемещающиеся на Тайване и Китае, были также предназначены, согласно отчету Kaspersky.Ставя под угрозу системы отеля, атакующие в состоянии точно идентифицировать цели и использовать их веру в локальную сеть, сказал Курт Баумгартнер, основной исследователь в области безопасности с Kaspersky Lab, eWEEK.
«Когда руководитель или путешественник интереса зарегистрировались в отеле, у атакующих есть некоторое знание их фамилии и номера комнаты», сказал он. «Таким образом, этот тип нападения более точен и более предназначен, чем нападение дыры разводнения».Нападения Darkhotel не являются первым разом, когда атакующие нацелились на сети отеля.
Однако предыдущие нападения часто фокусировались на краже данных платежной карты, а не интеллектуальной собственности. Связанные с отелем шпионские усилия обычно требовали доступа к комнатам, такой как тогда, когда китайские агенты по сообщениям имплантировали вредоносное программное обеспечение на PC руководителей Дюпона, получая доступ к сейфу гостиничного номера, в котором они оставались.У группы Darkhotel, казалось, было знание того, когда предназначенное бизнес-лицо поступит, а также их номер комнаты.
Группа поставила бы под угрозу сеть отеля, заразила бы целевые системы, и – после экс-фильтрования любых данных – удаляют любые трассировки их программного обеспечения, по данным Baumgartner.Фактически, атакующие очень боялись быть обнаруженными, только пытаясь использовать определенных жертв, которые вызвали проблемы для Kaspersky в попытке разыскать вредоносное программное обеспечение, согласно отчету фирмы.«При посещении тех же отелей наши исследовательские системы ловушки не могли привлечь нападение Darkhotel», говорилось в докладе. «Это, данные являются неокончательными, но это указывает на неправильное использование информации о регистрации».Если успешный, нападение Darkhotel крадет имена и пароли пользователей больше чем для 30 различных сайтов, включая крупнейших американских интернет-провайдеров, таких как Microsoft, Google и Yahoo, а также международные Интернет-провайдеры, такие как Yandex, базируемый в России, и 126.com, базируемый в Китае.
Национальность атакующих не известна, но установление языка в коде является корейским.Предназначенные нападения через сети отеля, кажется, только один способ, которым действовала группа Darkhotel.Иногда, использование группы бесхитростные, массовые заражения для распространения вредоносного программного обеспечения, японец отбора одноранговые сайты для хранения файлов с программами Троянского коня, встроенными в порнографические файлы. Группа также использовала направленный фишинг для соблазнения целей со строками темы, имеющими дело с ядерной энергией и способностью производить оружие.
Наконец, группа Darkhotel использовала уязвимости нулевого дня для инфицирования предназначенных систем, по данным Kaspersky.Другая сила сети отелей Dark является своей способностью повредить слабо зашифрованные сертификаты и использовать их для одурачивания обороноспособности операционной системы. Windows и Mac OS X оба ищут известные подписи разработчика как один шаг в их обороноспособности. Группа Darkhotel, казалось, повредилась, много 512-разрядных ключей хешировали использование или SHA 1 или MD5, оба считали слишком слабым, чтобы быть безопасными против современных нападений.
«Мы уверены, что наш деятель угрозы Darkhotel мошеннически копировал эти сертификаты для подписания ее вредоносного программного обеспечения», Kaspersky Labstated в ее отчете. «Эти ключи не были украдены».