Kaspersky Lab informuje o zagrożeniu cybernetycznym DarkHotelem

Kampania cyberespionage DarkHotela teraz na nagłówkach gazet nie jest typowym zaawansowanym, trwałym zagrożeniem (APT). Według raportu opublikowanego przez Kaspersky Lab, kilka kluczowych elementów sprawia, że ​​DarkHotel jest wyjątkowy wśród zagrożeń cyberprzestępczych.

Po pierwsze, DarkHotel nie wydaje się być skierowany do państw narodowych, agencji rządowych lub urzędników. Zamiast tego DarkHotel skierowany jest szczególnie do wysoko postawionych biznesmenów: dyrektorów generalnych, starszych wiceprezesów, dyrektorów ds. Sprzedaży i marketingu oraz najlepszych pracowników badawczo-rozwojowych. Innymi słowy, jest przeznaczony raczej do szpiegostwa korporacyjnego niż tajemnicy państwowej.

Drugim unikalnym aspektem ataków DarkHotel jest to, że nie są tak wyrafinowane. Raport firmy Kaspersky Lab ujawnia zaawansowane cechy, ale w większości przypadków ataki polegają na słabych praktykach bezpieczeństwa podczas łączenia się z publicznymi sieciami Wi-Fi w hotelach.

Raport Kaspersky Lab wyjaśnia: "Ten APT precyzyjnie napędza kampanie za pomocą włóczni. cele wyłudzania informacji dzięki wysoce zaawansowanym exploitom typu zero-day, które skutecznie omijają najnowsze mechanizmy obronne Windows i Adobe, a także nieprecyzyjnie rozprzestrzeniają się wśród dużej liczby niejednoznacznych celów dzięki taktyce peer-to-peer. "Kaspersky twierdzi także, że ataki kradną i ponowne wykorzystywanie legalnych certyfikatów cyfrowych do podpisywania złośliwego kodu, aby wyglądało na uzasadnione.

Naukowcy z Kaspersky Lab odwiedzili niektóre hotele, w których wystąpiły infekcje DarkHotel, ale nie przyciągnęły one ataków DarkHotel. Oznacza to, że ataki nie są przypadkowe, ale celują w konkretne osoby.

Według raportu Kaspersky, "około 90% infekcji wydaje się znajdować w Japonii, Tajwanie, Chinach, Rosji i Korei Południowej, częściowo z powodu bezkrytyczne rozprzestrzenianie się złośliwego oprogramowania. Ogólnie rzecz biorąc, od 2008 roku liczba infekcji jest liczona w tysiącach. "

DarkHotel wykorzystuje znane słabości

Ostatecznie jednak piętą achillesową, która pozwala DarkHotelowi odnieść sukces, jest słaby model zabezpieczeń sieci hotelowych. Kevin Epstein, wiceprezes ds. Zaawansowanych zabezpieczeń i zarządzania dla Proofpoint, wyjaśnił: "Ten atak jest skuteczny w przypadku klasycznego ataku phishingowego - po podłączeniu do publicznej sieci (lub e-mail lub konta bankowego) pojawia się monit w przeglądarce wprowadź dane uwierzytelniające. Atakujący umieszczają fałszywą stronę lub fałszywe pobieranie na swój sposób - i zbyt często użytkownicy bezmyślnie akceptują pobieranie i / lub wprowadzają dane uwierzytelniające. "

" Ten rodzaj ataku nie jest niczym nowym "- podkreślił Luke Klink, Bezpieczeństwo Konsultant ds. Programu strategicznego z bezpieczeństwem w Rook. "Hotele zapewniają większą szansę na odniesienie sukcesu poprzez sieci, które często są słabo zabezpieczone. Jest to problem związany z procesem i edukacją, a nie tylko kwestią techniczną. "

VPN jest często wymieniany jako rozwiązanie dla niezabezpieczonych sieci hotelowych. Jednak w celu nawiązania połączenia VPN i korzystania z niego najpierw musisz połączyć się z przewodową lub Wi-Fi dostarczoną przez hotel - i tam właśnie pojawia się ten atak. Amichai Shulman, dyrektor ds. Technicznych w firmie Imperva, sugeruje: "Wyrafinowanie w tym przypadku nie jest przypisywane zakażeniu gościa, ale w rzeczywistości może pozostawać pod radarem personelu bezpieczeństwa IT hotelu przez długi czas (przypuszczalnie zgodnie z raportem) i być w stanie dotrzeć do konkretnych gości, a nie do powszechnej infekcji. Połączenia internetowe w pokojach hotelowych są przez wiele lat uważane za ogólnie niezabezpieczone, co wskazuje, że takie ataki nie są rzadkością. "

Epstein podsumował zagrożenie:" To przynajmniej tyle samo inżynieria społeczna, co techniczna. Można sobie wyobrazić, że nawet doświadczony podróżnik, pod wpływem stresu i braku snu, może kliknąć raz na dobrze zamaskowany atak … i to tylko raz. "

Chris Messer, wiceprezes ds. Technologii w Coretelligent, oferuje porady dla osób podróżujących w interesach: "Osoby powinny unikać usług przewodowego i bezprzewodowego Internetu w jednym miejscu, a zamiast tego polegać na dostarczanym przez firmę urządzeniu mobilnym lub tetheringu za pomocą urządzenia przenośnego. Kiedy osoby muszą korzystać z przewodowego lub bezprzewodowego Internetu hotelu, powinny unikać wykonywania jakichkolwiek administracyjnych zadań administracyjnych lub aktualizacji (Aktualizacje Windows, Przeglądarki lub aktualizacje wtyczek, itp.).

Łączenie się z własną oddzielną siecią usuwa możliwość osoby atakujące, które będą Cię podrabiać fałszywymi stronami logowania i zapobiegają narażeniu ruchu sieciowego na wszystkie inne osoby podłączone do sieci hotelowej.