AURIGA SYSTEMS

DATA SECURITY, CORPORATE FINANCE, ICT SOLUTIONS, BUSINESS RECOVERY, OUTSOURCING, THREAT ANALYSIS

Špionážní kampaň „Darkhotel“ Blog

Přední analytici Kaspersky Lab provedli rozbor špionážní kampaně „Darkhotel“ (v překladu temný hotel). V posledních minimálně čtyřech letech její autoři sbírali citlivé údaje od vybraných šéfů velkých podniků cestujících po světě. Darkhotel na ně zaútočil ve chvíli, kdy se ubytovali v luxusním hotelu.

Útočníci nikdy nenapadli stejnou oběť dvakrát a svou činnost prováděli s chirurgickou přesností – cenné údaje sebrali hned při prvním kontaktu, ihned smazali všechny stopy své práce a poté rychle splynuli s pozadím a vyčkávali na další vysoce postavenou oběť. Mezi posledními napadenými jsou vrcholoví manažeři z USA a Asie, kteří obchodují a investují v regionu Asie a Tichomoří – včetně generálních ředitelů a CEO, viceprezidentů, šéfů prodeje a marketingu a vedoucích výzkumu a vývoje. Kaspersky Lab varuje, že kampaň je stále aktivní.

Jak „hotelový“ útok probíhá? Kybernetičtí špioni udržují po několik let přístup do hotelové sítě, včetně systémů, které mají být privátní a zabezpečené. Čekají, až se po ubytování oběť připojí do Wi-Fi sítě hotelu se svým číslem pokoje a příjmením. Útočníci hosta vidí v napadené síti a navedou ho ke stažení a instalaci backdooru, který se tváří jako aktualizace legitimního programu – Google Toolbar, Adobe Flash nebo Windows Messenger.

Nainstalovaný backdoor slouží ke stahování dalších, vyspělejších zločinných nástrojů – odezírání činnosti klávesnice, trojského koně „Karba“ a modulů pro zcizení informací. Tyto nástroje sbírají data o systému a anti-malwarových programech v něm instalovaných, sledují všechny údery klávesnicí a loví uložená hesla ve Firefoxu, Chromu a IE, přihlašovací údaje do služby Gmail Notifier, Twitteru, Facebooku, Yahoo! a účtů Google a další osobní data. Oběti mohou přijít o citlivé informace, zejména duševní vlastnictví podniku, který zastupují. Útočníci poté zahladí stopy a zmizí do ústraní.

Přes vysokou efektivitu a kompetentnost může být škodlivá činnost Darkhotelu nekonzistentní. Vedle vysoce cílených útoků totiž nerozlišuje v tom, kam až se malware šíří. Mix cílených a necílených útoků je na scéně APT stále běžnější. Cílené útoky jdou po vysoce postavených obětech a operace ve stylu botnetů slouží k masovému sledování či dalším akcím, jako jsou útoky DDoS na nepřátele či vytipování zajímavých obětí k sofistikovanějšímu útoku.

Analytici Kaspersky Lab odhalili v řetězci škodlivého kódu stopu, která ukazuje na korejsky hovořící útočníky. Produkty Kaspersky Lab dokážou škodlivé programy a jejich mutace v souboru nástrojů Darkhotelu odhalit a neutralizovat.

Jak vyzrát na Darkhotel
Při cestování je nutné považovat jakoukoliv síť, i částečně privátní, za potenciálně nebezpečnou. Protože je Darkhotel nebo jemu podobná kampaň zřejmě stále aktivní, uživatelé by měli dodržovat tyto body:
1) Vyberte si poskytovatele VPN a získejte tak kanál pro šifrovanou komunikaci při připojení do částečně privátní či veřejné Wi-Fi sítě.
2) Na cestách považujte každou aktualizaci softwaru za podezřelou. Ujistěte se, že její autor je legitimním poskytovatelem daného softwaru.

Zdroj: Kaspersky Lab

Partnerské weby: firemnifinance.cz TOPlist