#CyberFiles DarkHotel si intruziunea in viata privata prin retelele Wi-Fi din hotelurile de lux

Luni, 14 Octombrie 2019, ora 11:37
5584 citiri
#CyberFiles DarkHotel si intruziunea in viata privata prin retelele Wi-Fi din hotelurile de lux
Foto: Pixabay

Atacatorii cibernetici incep sa se specializeze si sa-si diversifice tintele pe care le doresc pagubite. Nu mai devreme de anul 2014, Interpol si expertii Kaspersky incep o colaborare pentru a studia noua amenintare DarkHotel care viza oaspetii de rang inalt ce se conectau la retelele Wi-Fi ale hotelurilor de lux in care erau cazati. Pe lista acestora se aflau top manageri din tarile asiatice si europene, precum si din Statele Unite ale Americii.

Mod de operare la nivel de... lux

Primele dezvaluiri despre DarkHotel au aparut in anul 2014, desi se pare ca amenintarea isi avea radacinile cu cel putin patru ani in urma. La momentul anuntului, Kaspersky si Interpol semneaza un pact de colaborare la acest caz.

Din investigatia realizata de cele doua entitati rezulta faptul ca DarkHotel era o campanie complexa de spionaj cibernetic care viza persoane cu functii de varf din companii internationale, de la directori executivi, prim-vicepresedinti, directori de vanzari si marketing, angajati cu rang inalt din cercetare si dezvoltare. Acestia erau cazati in anumite zone din Asia, unde exista hoteluri de lux, frecventate de top manageri din tarile asiatice si europene, inclusiv SUA. Numele si localizarea acestor hoteluri nu au fost dezvaluite.

Dar cum functiona DarkHotel? Practic, dupa efectuarea operatiunii de check-in la receptia hotelului, de cele mai multe ori oaspetii se conectau la reteaua Wi-Fi a acestuia. In acest scop, le era solicitat numele de familie impreuna cu un numar de camera pentru conectare.

"Imediat dupa conectare, oaspetelui i se cere sa descarce o actualizare pentru un software legitim, cum ar fi bara de instrumente Google, Adobe Flash sau Windows Messenger. Cum era de asteptat, nu este vorba de o actualizare legitima, ci de un backdoor. Odata descarcat pe dispozitiv, backdoor-ul ii ajuta pe atacatori sa identifice cat de importanta este victima. Apoi, ei decid daca il vor determina pe utilizator sa descarce instrumente mai avansate", explica expertii de la Kaspersky.

In procesul de compromitere a utilizatorului unui dispozitiv conectat la reteaua Wi-Fi a hotelului respectiv, atacatorii au pregatit o serie de instrumente: un keylogger digital, un troian numit "Karba", care colecteaza date despre sistem si software-ul anti-malware instalat pe acesta, un modul care fura informatii, cu scopul de a vana parole salvate in memoria cache din browserele Firefox, Chrome si Internet Explorer, impreuna cu Gmail Notifier, Twitter, Facebook, Yahoo! si datele de autentificare Google, precum si alte informatii private.

Nu trece mult timp de la logare si victimele pierd date importante, care sunt, probabil, proprietatea intelectuala a companiilor pe care le reprezinta. Ulterior atacului, hackerii "ecologizeaza" cu atentie toate urmele activitatilor lor din reteaua hotelului.

Pagube si metode de atac

Conform datelor centralizate de Kaspersky, infectarile Darkhotel au afectat mii de dispozitive, majoritatea victimelor (90%) fiind localizate in Japonia, Taiwan, Rusia si Coreea. Pe lista tarilor afectate s-au mai aflat: Germania, SUA, Indonezia, India si Irlanda.

Pe tot parcusul perioadei de varf a amenintarii, pachetul Darkhotel a fost descarcat de peste 30.000 de ori, in mai putin de sase luni.

Analizele efectuate in acea perioada au aratat ca activitatea Darkhotel a fost inconsecventa, in sensul ca, alaturi de atacurile sale foarte bine directionate, a existat si o raspandire nediscriminatorie a malware-ului.

"Atacatorii utilizeaza operatiuni botnet pentru supraveghere sau pentru a indeplini alte sarcini, cum ar fi atacurile DDoS sau pentru a instala instrumente de spionaj mai sofisticate pe computerele victimelor deosebit de interesante. De asemenea, raspandesc malware in masa prin intermediul site-urilor japoneze P2P (peer-to-peer) de partajare a fisierelor. Malware-ul este livrat ca parte dintr-o arhiva RAR mare care promite sa ofere continut sexual, dar instaleaza un troian backdoor ce le permite atacatorilor sa efectueze o campanie de supraveghere in masa", au sustinut specialistii.

Acestia au ajuns la concluzia ca principalele puncte de interes ale gruparii din spatele Darkhotel au fost: bazele industriale de aparare (DIB), guvernele, ONG-urile, producatorii mari de electronice si periferice, companiile farmaceutice, furnizorii de servicii medicale, organizatiile militare si factorii de decizie in domeniul energiei. Toate atacurile au urmarit procesul tipic de phishing personalizat, cu e-mail-uri - capcana ce aveau ca subiecte energia nucleara si armele.

Expertii Kaspersky au analizat indeaproape activitatea atacatorilor din spatele DarkHotel si codul malware produs de acestia si au stabilit ca infractorul APT (Advanced Persistent Threat) este vorbitor de limba coreeana.

Portofoliul DarkHotel se extinde...

O investigatie a specialistilor in securitate de la Bitdefender, realizata in iulie 2017, arata ca atacatorii din spatele gruparii DarkHotel, recunoscuta pentru atacuri tintite asupra turistilor din hoteluri, a vizat si oamenii politici, nu numai sefi de companii si oameni de afaceri.

Se pare ca, in perioada 2007 - 2017, atacatorii au devenit cunoscuti in industria securitatii cibernetice prin faptul ca isi alegeau victimele dintre turistii hotelurilor, mai ales persoane cu functii inalte in organizatii, care au acces deplin la informatii cu importanta valoare comerciala, precum prototipuri, proprietate intelectuala sau codul-sursa al programelor software.

Dar gruparea DarkHotel ataca si politicieni, iar pe langa tacticile de infectie prin reteaua Wi-Fi a hotelului, noua campanie, numita Inexsmar, folosea mesaje e-mail cu continut politic. Scopul atacului era sustragerea de informatii de importanta strategica, atat secrete de stat, cat si date cu valoare comerciala ridicata, mentioneaza specialisti Bitdefender.

''Atacatorii din spatele gruparii DarkHotel, cunoscuti de un deceniu pentru miile de victime tintite de-a lungul timpului prin infrastructura Wi-Fi din hoteluri, si-au imbunatatit modalitatea de atac si vizeaza acum personaje politice", arata o cercetare derulata de specialistii in securitate cibernetica ai Bitdefender.

Tipologia atacurilor si mecanismul de livrare a infectiei arata clar ca gruparea din spatele atacului nu mai urmareste castiguri financiare, ci mai degraba furtul de informatii clasificate. Gruparea DarkHotel ajungea la victima printr-o schema de atac extrem de complexa: un e-mail conceput special pentru tinta, un program care se descarca automat si un sistem avansat de sustragere de date invizibil persoanei infectate, au precizat expertii.

Totodata, in concluziile cercetarii, se nota faptul ca noua abordare le permitea infractorilor sa isi mentina amenintarea informatica mai competitiva si flexibila, inclusiv sa o actualizeze, in conditiile in care sistemele de aparare oferite de solutiile de securitate au evoluat constant in ultimii ani.

Gruparea DarkHotel se inscrie pe acelasi trend inovational propus de "breasla" infractorilor cibernetici. Conexiunile cu sau fara parole, de tip Wi-Fi, accesate in interiorul hotelurilor de toate clasificarile s-au dovedit un punct vulnerabil pentru utilizatori, chiar din cele mai inalte clase sociale.

Combinatia dintre atacurile tintite si cele "la intamplare" se pare ca reprezinta cheia succesului pe care pariaza atacatorii. Iar cei din spatele DarkHotel au intuit acest lucru, utilizand instrumente sofisticate de spionaj cibernetic pentru a afecta "victime" cu miza mare.

#hackeri retea wifi hotel lux , #Internet hacking