SG.hu
Felsővezetőket támad a Darkhotel
A Kaspersky Lab Globális Kutató és Elemző Csapata (GReAT) közzétette kutatásának eredményét a Darkhotel nevű fenyegetésről, amely immár legalább négy éve észrevétlenül működik, és külföldre utazó, kiválasztott cégvezetők után kémkedik.
A cég közleménye szerint áldozatait akkor támadja, amikor luxusszállodákban tartózkodnak. A fenyegetés mögött álló hackerek sohasem célozzák ugyanazt a személyt kétszer, a műveletet sebészi pontossággal hajtják végre, azonnal összegyűjtik az összes, számukra értékes adatot, törlik tevékenységük nyomait, majd a háttérbe húzódnak, és várják következő fontos áldozatukat. A legutóbb érintett személyek között olyan amerikai és ázsiai felsővezetők – vezérigazgatók, alelnökök, értékesítési és marketingigazgatók, valamint kutatás-fejlesztéssel foglalkozó vezető szakemberek – találhatók, akik üzleti és befektetési lehetőségeket kerestek az APAC régióban. Ez a fenyegetés jelenleg is aktív, figyelmeztet a Kaspersky Lab.
A Darkhotel egy hatékony behatolási eszközkészletet működtet a szállodák hálózatában, amely még a védettnek hitt rendszerekhez is hozzáférést biztosít. Megvárja, amíg a szállodai bejelentkezés után a vendég vezetékneve és szobaszáma megadásával csatlakozik a hotel Wi-Fi hálózatához. A támadók látják áldozatuk megjelenését az ellenőrzésük alá vont hálózatban, s egy trükkel arra veszik rá, hogy töltsön le és telepítsen gépére egy backdoort, amelyet legális szoftvernek – Google Toolbar-nak, Adobe Flash-nek vagy Windows Messenger-nek – álcáznak. A gyanútlan vállalatvezető letölti az „üdvözlő csomagot”, amely nem csinál egyebet, mint megfertőzi a számítógépét egy backdoor-ral, a Darkhotel kémszoftverrel.
Miután települt a számítógépre, a backdoor-t további, fejlettebb adatlopó eszközök letöltésére használják. Ezek között megtalálható egy digitálisan aláírt, kifinomult billentyűleütés-figyelő, a Karba nevű trójai, valamint egy adatlopó modul. Ezek az eszközök adatokat gyűjtenek a rendszerről és a telepített anti-malware szoftverről, rögzítik az összes billentyűleütést, továbbá vadásznak a Firefox, a Chrome és az Internet Explorer böngészők gyorsító tárában lévő jelszavakra; a Gmail Notifier, a Twitter, a Facebook, a Yahoo! és a Google bejelentkezési azonosítóira; valamint más személyes információkra. Ennek eredményeképpen az áldozat gépén tárolt bizalmas információk – köztük a cége szellemi tulajdonát képező adatok – kerülnek a bűnözők tulajdonába. A művelet után a támadók gondosan törlik eszközeiket a hotel hálózatából, és rejtőzködve várják következő áldozatukat.
„Az utóbbi néhány évben a Darkhotel fenyegetés számos sikeres támadást hajtott végre fontos cégvezetők ellen, olyan módszereket alkalmazva, amelyek messze túlmutatnak a tipikus kiberbűnözői technikákon. A fenyegetés mögött álló hackerek komoly szaktudással, kiterjedt matematikai és titkosítási ismeretekkel, valamint további olyan erőforrásokkal rendelkeznek, amelyek révén képesek rosszindulatú céljaikra felhasználni a megbízható hálózatokat és speciális célcsoportok ellen stratégiai pontosságú célzott támadásokat indítani” - mondta Kurt Baumgartner, a Kaspersky Lab vezető biztonsági kutatója.
Ugyanakkor a Darkhotel rosszindulatú tevékenysége egyáltalán nem következetes: a célzott támadások mellett a malware válogatás nélküli terjesztése tapasztalható. „A célzott és a szétszórt támadások vegyes alkalmazása egyre inkább elterjedt módszer az APT-k világában. A célzott támadásokat fontos személyek ellen vetik be, míg a botnet jellegű műveleteket tömeges megfigyelésre vagy olyan más feladatok végrehajtására használják, mint a DDoS támadások kivitelezése vagy az érdeklődésre számot tartó potenciális áldozatok felkutatása,” tette hozzá Kurt Baumgartner.
A Kaspersky Lab kutatói felfedezték, hogy egy, a támadók által a rosszindulatú kódban hagyott karakterlánc koreai anyanyelvű elkövetőkre utal.
A cég közleménye szerint áldozatait akkor támadja, amikor luxusszállodákban tartózkodnak. A fenyegetés mögött álló hackerek sohasem célozzák ugyanazt a személyt kétszer, a műveletet sebészi pontossággal hajtják végre, azonnal összegyűjtik az összes, számukra értékes adatot, törlik tevékenységük nyomait, majd a háttérbe húzódnak, és várják következő fontos áldozatukat. A legutóbb érintett személyek között olyan amerikai és ázsiai felsővezetők – vezérigazgatók, alelnökök, értékesítési és marketingigazgatók, valamint kutatás-fejlesztéssel foglalkozó vezető szakemberek – találhatók, akik üzleti és befektetési lehetőségeket kerestek az APAC régióban. Ez a fenyegetés jelenleg is aktív, figyelmeztet a Kaspersky Lab.
A Darkhotel egy hatékony behatolási eszközkészletet működtet a szállodák hálózatában, amely még a védettnek hitt rendszerekhez is hozzáférést biztosít. Megvárja, amíg a szállodai bejelentkezés után a vendég vezetékneve és szobaszáma megadásával csatlakozik a hotel Wi-Fi hálózatához. A támadók látják áldozatuk megjelenését az ellenőrzésük alá vont hálózatban, s egy trükkel arra veszik rá, hogy töltsön le és telepítsen gépére egy backdoort, amelyet legális szoftvernek – Google Toolbar-nak, Adobe Flash-nek vagy Windows Messenger-nek – álcáznak. A gyanútlan vállalatvezető letölti az „üdvözlő csomagot”, amely nem csinál egyebet, mint megfertőzi a számítógépét egy backdoor-ral, a Darkhotel kémszoftverrel.
Miután települt a számítógépre, a backdoor-t további, fejlettebb adatlopó eszközök letöltésére használják. Ezek között megtalálható egy digitálisan aláírt, kifinomult billentyűleütés-figyelő, a Karba nevű trójai, valamint egy adatlopó modul. Ezek az eszközök adatokat gyűjtenek a rendszerről és a telepített anti-malware szoftverről, rögzítik az összes billentyűleütést, továbbá vadásznak a Firefox, a Chrome és az Internet Explorer böngészők gyorsító tárában lévő jelszavakra; a Gmail Notifier, a Twitter, a Facebook, a Yahoo! és a Google bejelentkezési azonosítóira; valamint más személyes információkra. Ennek eredményeképpen az áldozat gépén tárolt bizalmas információk – köztük a cége szellemi tulajdonát képező adatok – kerülnek a bűnözők tulajdonába. A művelet után a támadók gondosan törlik eszközeiket a hotel hálózatából, és rejtőzködve várják következő áldozatukat.
„Az utóbbi néhány évben a Darkhotel fenyegetés számos sikeres támadást hajtott végre fontos cégvezetők ellen, olyan módszereket alkalmazva, amelyek messze túlmutatnak a tipikus kiberbűnözői technikákon. A fenyegetés mögött álló hackerek komoly szaktudással, kiterjedt matematikai és titkosítási ismeretekkel, valamint további olyan erőforrásokkal rendelkeznek, amelyek révén képesek rosszindulatú céljaikra felhasználni a megbízható hálózatokat és speciális célcsoportok ellen stratégiai pontosságú célzott támadásokat indítani” - mondta Kurt Baumgartner, a Kaspersky Lab vezető biztonsági kutatója.
Ugyanakkor a Darkhotel rosszindulatú tevékenysége egyáltalán nem következetes: a célzott támadások mellett a malware válogatás nélküli terjesztése tapasztalható. „A célzott és a szétszórt támadások vegyes alkalmazása egyre inkább elterjedt módszer az APT-k világában. A célzott támadásokat fontos személyek ellen vetik be, míg a botnet jellegű műveleteket tömeges megfigyelésre vagy olyan más feladatok végrehajtására használják, mint a DDoS támadások kivitelezése vagy az érdeklődésre számot tartó potenciális áldozatok felkutatása,” tette hozzá Kurt Baumgartner.
A Kaspersky Lab kutatói felfedezték, hogy egy, a támadók által a rosszindulatú kódban hagyott karakterlánc koreai anyanyelvű elkövetőkre utal.