Deskundigen van Kaspersky Labs Global Research and Analysis Team (GReAT) onderzochten de “Darkhotel” spionagecampagne. Deze heeft ten minste vier jaar lang onopgemerkt gevoelige gegevens kunnen stelen van corporate executives tijdens buitenlandse reizen. “Darkhotel” sloeg toe terwijl de slachtoffers in luxe hotels verbleven. Ze voeren acties uit met chirurgische precisie en nooit tweemaal bij het zelfde doelwit. Bij het eerste contact halen de hackers alle waardevolle gegevens binnen die ze te pakken kunnen krijgen. Vervolgens wissen ze alle sporen van hun werkzaamheden en verdwijnen ze weer naar de achtergrond om te wachten op het volgende high-profile individu. Tot de meest recente reizende doelwitten behoorden topbestuurders uit de VS en Azië die in de APAC-regio waren voor zaken en investeringen. CEO’s, senior vice presidents, sales- en marketingdirecteuren en top R&D-personeel behoorden tot de doelwit. Wie wordt het volgende slachtoffer? Deze dreigingsactor is namelijk nog steeds actief, waarschuwt Kaspersky Lab.
Zo werkt de hotelaanval
De Darkhotel-actor gebruikt steeds een doeltreffende inbraak die is ingesteld op hotelnetwerken. Door de jaren heen is daarmee uitgebreid toegang verkregen, zelfs tot systemen die privé en veilig geacht werden. Men wacht tot het slachtoffer, na te zijn ingecheckt, verbinding maakt met het wifi-netwerk van het hotel. Tijdens het inloggen worden het kamernummer en de achternaam van het slachtoffer gebruikt. De aanvallers detecteren hem in het gecompromitteerde netwerk en verleiden hem tot het downloaden en installeren van een backdoor die zich voordoet als een update voor legitieme software – zoals Google Toolbar, Adobe Flash of Windows Messenger. De nietsvermoedende executive downloadt dit “welkomstpakket” van het hotel en besmet daarmee ongemerkt zijn of haar machine met een backdoor, Darkhotel’s spionagesoftware.
Eenmaal aanwezig op een systeem is de backdoor te gebruiken (en is gebruikt) om meer geavanceerde diefststalinstrumenten te downloaden: een digitaal ondertekende geavanceerde keylogger, de Trojan ‘Karba’ en een informatie stelende module. Deze tools verzamelen gegevens over het systeem en de daarop geïnstalleerde anti-malware software, registreren alle toetsaanslagen en jagen op in de cache opgeslagen wachtwoorden voor Firefox, Chrome en Internet Explorer; Gmail Notifier, Twitter, Facebook, Yahoo! en Google inloggegevens en andere privé-informatie. Slachtoffers verliezen gevoelige gegevens – die hoogstwaarschijnlijk het intellectuele eigendom zijn van de bedrijfsonderdelen die zij vertegenwoordigen. Na de operatie verwijderen de aanvallers zorgvuldig hun gereedschap van het hotelnetwerk en duiken weer onder.
In een reactie op Darkhotel zegt Kurt Baumgartner, Principal Security Researcher bij Kaspersky Lab: “In de afgelopen jaren heeft een krachtige actor, genaamd Darkhotel, een aantal succesvolle aanvallen uitgevoerd tegen high-profile individuen, waarbij gebruik is gemaakt van methoden en technieken die veel verder gaan dan het typische gedrag van cybercriminelen. Deze dreigingsactor beschikt over operationele bekwaamheid, mathematische en crypto-analytische offensieve mogelijkheden en andere middelen die voldoende zijn om vertrouwde commerciële netwerken te misbruiken en zich met strategische precisie te richten op specifieke categorieën slachtoffers.”
Zo bent u Darkhotel’s trucs te slim af
Tijdens reizen moeten alle netwerken, zelfs semi-private netwerken in hotels, worden beschouwd als potentieel gevaarlijk. De Darkhotel casus illustreert een evoluerend aanvalsvector: personen die over waardevolle informatie beschikken, kunnen gemakkelijk het slachtoffer worden van Darkhotel zelf (aangezien deze nog steeds actief is), maar ook van iets wat vergelijkbaar is met een Darkhotel-aanval. Om dit te voorkomen, geeft Kaspersky Lab de volgende tips:
• Kies een Virtual Private Network (VPN) provider – u ontvangt dan een gecodeerd communicatiekanaal bij toegang tot openbare of semi-openbare wifi-netwerken.
• Beschouw tijdens reizen software-updates altijd als verdacht. Bevestig dat de voorgestelde update-installer is ondertekend door de desbetreffende leverancier.
• Verzeker u ervan dat uw internetbeveiligingssoftware proactieve bescherming bevat tegen nieuwe dreigingen, in plaats van slechts basis antivirusbescherming.
• De aanvallers lieten een voetafdruk achter in een string binnen hun kwaadaardige code; deze verwijst naar een Koreaanstalige actor.
• Producten van Kaspersky Lab detecteren en neutraliseren de door de Darkhotel-toolkit gebruikte schadelijke programma’s en hun varianten.
• Kaspersky Lab werkt momenteel samen met relevante organisaties om het probleem zo goed mogelijk in te perken.
• Bekijk voor meer informatie ook het filmpje over de Darkhotel spionagecampagne en kijk op de site voor aanvullende privacytips
