Darkhotel vizează victime care se cazează în hoteluri de lux, iar echipa din spatele campaniei nu atacă aceeaşi persoană de două ori. Oeraţiunile Darkhotel sunt executate cu precizie, obţinând toate datele importante de la primul atac. Ulterior, atacatorii îşi acoperă urmele şi îşi sistează activităţile până când identifică următoarea ţintă. Printre victime se află directori de corporaţii din SUA şi Asia. Ameninţarea este încă activă, avertizează Kaspersky Lab.
Metoda de lucru Darkhotel
Actorul Darkhotel are o metodă eficientă de pătrunde în reţelele hotelurilor, oferind atacatorilor un acces amplu şi de lungă durată, vizând inclusiv sistemele considerate private şi sigure. Atacatorii acţionează când victimele se conectează la reţeaua Wi-Fi a hotelului, introducând numărul camerei şi numele de familie pentru logare. Infractorii cibernetici identifică victimele în momentul conectării la reţeaua compromisă şi le solicită să descarce şi să instaleze un backdoor sub forma unei actualizări pentru un software legitim Google Toolbar, Adobe Flash sau Windows Messenger. Victima descarcă pachetul, infectând dispozitivul cu un backdoor – software-ul de spionaj cibernetic Darkhotel.
În urma instalării, backdoor-ul poate fi utilizat pentru a descărca instrumente mai avansate cu scopul de a sustrage informaţii confidenţiale: un keylogger avansat cu semnătură digitală, troianul Karba şi un modul specializat în extragerea de informaţii. Aceste instrumente colectează date despre sistem şi despre software-ul de securitate instalat, sustrag parolele salvate în Firefox, Chrome şi Internet Explorer, Gmail Notifier, Twitter, Facebook, parolele de logare în conturile de Yahoo! şi Google, precum şi alte informaţii confidenţiale. Victimele riscă să piardă informaţii importante, precum fişiere proprietate intelectuală a organizaţiilor pe care le reprezintă. După operaţiune, atacatorii şterg instrumentele infiltrate în reţeaua hotelului şi îşi sistează temporar operaţiunile.
În ultimii ani, Darkhotel a atacat cu succes oameni cu funcţii importante, utilizând metode şi tehnici mai avansate decât cele utilizate în atacurile tipice, spune Kurt Baumgartner, Principal Security Researcher la Kaspersky Lab. Acest actor are competenţă operaţională, capacităţi matematice şi de analiză criptografică, precum şi alte resurse capabile să infecteze reţele comerciale de încredere, vizând diferite categorii specifice de victime cu precizie strategică, încheie Kurt Baumgartner.
Cercetătorii Kaspersky Lab au descoperit într-un string al codului periculos Darkhotel o urmă care indică un vorbitor de limba coreeană. Produsele Kaspersky Lab detectează şi neutralizează programele periculoase şi variantele utilizate în setul de instrumente Darkhotel. Kaspersky Lab colaborează cu multiple organizaţii de profil pentru a rezolva cazul Darkhotel.
Cum pot fi evitate atacurile Darkhotel
În timpul călătoriilor, orice reţea, chiar şi cele semi-private din hoteluri, poate fi periculoasă. Cazul Darkhotel ilustrează un vector de atac în plină evoluţie: persoanele care posedă informaţii valoroase pot deveni cu uşurinţă victime Darkhotel sau ale unei operaţiuni similare. Pentru a preveni aceste ameninţări, Kaspersky Lab recomandă: utilizarea unui furnizor Virtual Private Network (VPN) care poate asigura un canal de comunicare criptat pentru accesarea reţelelor Wi-Fi publice sau semi-publice; În călătorii, orice actualizare de software este suspicioasă şi trebuie să te asiguri că programul este dezvoltat de un furnizor de încredere. Soluţia de securitate trebuie să oferă protecţie şi împotriva ameninţărilor nou dezvoltate, şi nu doar protecţie antivirus de bază.
Kaspersky Lab este prezentă în aproximativ 200 de ţări şi protejează peste 300 de milioane de utilizatori din întreaga lume.