Analytici Kaspersky Lab provedli rozbor špionážní kampaně „Darkhotel“. V posledních minimálně čtyřech letech její autoři sbírali citlivé údaje od vybraných šéfů velkých podniků cestujících po světě. Darkhotel na ně zaútočil ve chvíli, kdy se ubytovali v luxusním hotelu.
Útočníci nikdy nenapadli stejnou oběť dvakrát a svou činnost prováděli s chirurgickou přesností – cenné údaje sebrali hned při prvním kontaktu, ihned smazali všechny stopy své práce a poté rychle splynuli s pozadím a vyčkávali na další vysoce postavenou oběť. Mezi posledními napadenými jsou vrcholoví manažeři z USA a Asie, kteří obchodují a investují v regionu Asie a Tichomoří – včetně generálních ředitelů a CEO, viceprezidentů, šéfů prodeje a marketingu a vedoucích výzkumu a vývoje. Kaspersky Lab varuje, že kampaň je stále aktivní.
Jak „hotelový“ útok probíhá? Kybernetičtí špioni udržují po několik let přístup do hotelové sítě, včetně systémů, které mají být privátní a zabezpečené. Čekají, až se po ubytování oběť připojí do Wi-Fi sítě hotelu se svým číslem pokoje a příjmením. Útočníci hosta vidí v napadené síti a navedou ho ke stažení a instalaci backdooru, který se tváří jako aktualizace legitimního programu – Google Toolbar, Adobe Flash nebo Windows Messenger.
Nainstalovaný backdoor slouží ke stahování dalších, vyspělejších zločinných nástrojů – odezírání činnosti klávesnice, trojského koně „Karba“ a modulů pro zcizení informací. Tyto nástroje sbírají data o systému a anti-malwarových programech v něm instalovaných, sledují všechny údery klávesnicí a loví uložená hesla ve Firefoxu, Chromu a IE, přihlašovací údaje do služby Gmail Notifier, Twitteru, Facebooku, Yahoo! a účtů Google a další osobní data. Oběti mohou přijít o citlivé informace, zejména duševní vlastnictví podniku, který zastupují. Útočníci poté zahladí stopy a zmizí do ústraní.
Přes vysokou efektivitu a kompetentnost může být škodlivá činnost Darkhotelu nekonzistentní. Vedle vysoce cílených útoků totiž nerozlišuje v tom, kam až se malware šíří. Více o těchto vektorech si přečtěte zde. Mix cílených a necílených útoků je na scéně APT stále běžnější. Cílené útoky jdou po vysoce postavených obětech a operace ve stylu botnetů slouží k masovému sledování či dalším akcím, jako jsou útoky DDoS na nepřátele či vytipování zajímavých obětí k sofistikovanějšímu útoku.
Analytici Kaspersky Lab odhalili v řetězci škodlivého kódu stopu, která ukazuje na korejsky hovořící útočníky. Produkty Kaspersky Lab dokážou škodlivé programy a jejich mutace v souboru nástrojů Darkhotelu odhalit a neutralizovat.
Při cestování je nutné považovat jakoukoliv síť, i částečně privátní, za potenciálně nebezpečnou. Protože je Darkhotel nebo jemu podobná kampaň zřejmě stále aktivní, uživatelé by měli dodržovat tyto body:
Kompletní zprávu o Darkhotelu si přečtete na webu Securelist.