Pas op voor Wifi in hotels

 
Deskundigen van Kaspersky Labs Global Research and Analysis Team (GReAT) onderzochten de "Darkhotel" spionagecampagne. Deze heeft ten minste vier jaar lang onopgemerkt gevoelige gegevens kunnen stelen van geselecteerde corporate executives tijdens buitenlandse reizen. "Darkhotel" sloeg toe terwijl de slachtoffers in luxe hotels verbleven. Het team richtte zich nooit tweemaal op hetzelfde doelwit; ze voeren acties uit met chirurgische precisie en halen bij het eerste contact alle waardevolle gegevens binnen die ze te pakken kunnen krijgen. Vervolgens wissen ze alle sporen van hun werkzaamheden en verdwijnen ze weer naar de achtergrond om te wachten op het volgende high-profile individu. Tot de meest recente reizende doelwitten behoorden topbestuurders uit de VS en Azië die in de APAC-regio waren voor zaken en investeringen: CEO's, senior vice presidents, sales- en marketingdirecteuren en top R&D-personeel behoorden allen tot de doelwitten. Wie wordt het volgende slachtoffer? Deze dreigingsactor is namelijk nog steeds actief, waarschuwt Kaspersky Lab.

Zo werkt de hotelaanval
De Darkhotel-actor gebruikt steeds een doeltreffende inbraak die is ingesteld op hotelnetwerken. Door de jaren heen is daarmee uitgebreid toegang verkregen, zelfs tot systemen die privé en veilig geacht werden. Men wacht tot het slachtoffer, na te zijn ingecheckt, verbinding maakt met het wifi-netwerk van het hotel. Tijdens het inloggen worden het kamernummer en de achternaam van het slachtoffer gebruikt. De aanvallers detecteren hem in het gecompromitteerde netwerk en verleiden hem tot het downloaden en installeren van een backdoor die zich voordoet als een update voor legitieme software -  zoals Google Toolbar, Adobe Flash of Windows Messenger. De nietsvermoedende executive downloadt dit "welkomstpakket" van het hotel en besmet daarmee ongemerkt zijn of haar machine met een backdoor, Darkhotel's spionagesoftware.

Eenmaal aanwezig op een systeem is de backdoor te gebruiken (en is gebruikt) om meer geavanceerde diefststalinstrumenten te downloaden: een digitaal ondertekende geavanceerde keylogger, de Trojan 'Karba' en een informatie stelende module. Deze tools verzamelen gegevens over het systeem en de daarop geïnstalleerde anti-malware software, registreren alle toetsaanslagen en jagen op in de cache opgeslagen wachtwoorden voor Firefox, Chrome en Internet Explorer; Gmail Notifier, Twitter, Facebook, Yahoo! en Google inloggegevens en andere privé-informatie. Slachtoffers verliezen gevoelige gegevens - die hoogstwaarschijnlijk het intellectuele eigendom zijn van de bedrijfsonderdelen die zij vertegenwoordigen. Na de operatie verwijderen de aanvallers zorgvuldig hun gereedschap van het hotelnetwerk en duiken weer onder.

In een reactie op Darkhotel zegt Kurt Baumgartner, Principal Security Researcher bij Kaspersky Lab: "In de afgelopen jaren heeft een krachtige actor, genaamd Darkhotel, een aantal succesvolle aanvallen uitgevoerd tegen high-profile individuen, waarbij gebruik is gemaakt van methoden en technieken die veel verder gaan dan het typische gedrag van cybercriminelen. Deze dreigingsactor beschikt over operationele bekwaamheid, mathematische en crypto-analytische offensieve mogelijkheden en andere middelen die voldoende zijn om vertrouwde commerciële netwerken te misbruiken en zich met strategische precisie te richten op specifieke categorieën slachtoffers." 

Darkhotel's kwaadaardige activiteit kan echter inconsistent zijn: de malware wordt behalve voor zeer gerichte aanvallen ook lukraak verspreid. 

"De mix van zowel gerichte als willekeurige aanvallen komt steeds vaker voor in de APT-scene, waar gerichte aanvallen worden gebruikt om high-profile slachtoffers te compromitteren. Ook worden botnet-achtige operaties gebruikt voor massa-surveillance of het uitvoeren van andere taken, zoals DDoS-aanvallen op vijandige partijen of simpelweg het upgraden van interessante slachtoffers naar meer geavanceerde spionage-tools", voegt Kurt Baumgartner toe.

Zo bent u Darkhotel's trucs te slim af
Tijdens reizen moeten alle netwerken, zelfs semi-private netwerken in hotels, worden beschouwd als potentieel gevaarlijk. De Darkhotel casus illustreert een evoluerend aanvalsvector: personen die over waardevolle informatie beschikken, kunnen gemakkelijk het slachtoffer worden van Darkhotel zelf (aangezien deze nog steeds actief is), maar ook van iets wat vergelijkbaar is met een Darkhotel-aanval. Om dit te voorkomen, geeft Kaspersky Lab de volgende tips:
  • Kies een Virtual Private Network (VPN) provider - u ontvangt dan een gecodeerd communicatiekanaal bij toegang tot openbare of semi-openbare wifi-netwerken.
  • Beschouw tijdens reizen software-updates altijd als verdacht. Bevestig dat de voorgestelde update-installer is ondertekend door de desbetreffende leverancier.
  • Verzeker u ervan dat uw internetbeveiligingssoftware proactieve bescherming bevat tegen nieuwe dreigingen, in plaats van slechts basis antivirusbescherming.
  • Voor meer privacytips kunt u terecht op cybersmart.kaspersky.com/privacy

Er zijn nog geen reacties op dit bericht.
Reageren op dit artikel