13/11/2014

DarkHotel: kampania szpiegowska w luksusowych azjatyckich hotelach

Informacje Zagrożenia

Cyberszpiegostwo to broń XXI wieku. Jeśli pozornie nieszkodliwa aplikacja mobilna może odkryć wiele tajemnic dzięki nieostrożnemu użytkownikowi, to co można powiedzieć o pełnowymiarowych kampaniach cyberszpiegowskich, które zazwyczaj mają na celu przedstawicieli dużych firm i organizacje rządowe.

klp_darktotel_ilustracja

Tej jesieni Kaspersky Lab odkrył sieć szpiegowską, nazwaną „Darkhotel”, która była aktywna przez siedem lat w wielu hotelach w Azji. Co więcej, sprytni i profesjonalni szpiedzy zamieszani w tę długoterminową operację utworzyli wszechstronny zestaw narzędzi umożliwiający włamanie się na komputery ofiar na wiele sposobów.

Pierwsze wspomnienia FBI o atakach na gości, którzy przebywali we wspomnianych hotelach, były w roku 2012. Jednak szkodliwe oprogramowanie użyte w trakcie działania Darkhotelu (znanego także jako Tapaoux) pojawiało się tu i tam już w 2007 roku. Po przeanalizowaniu logów z serwerów C&C wykorzystywanych do zarządzania kampanią badacze bezpieczeństwa wykryli połączenia z datą 1 stycznia 2009 roku. Można więc wywnioskować, że kampania była aktywna już od jakiegoś czasu.

W wielu luksusowych azjatyckich hotelach przeniknięcie do komputera ofiary odbywało się głównie przy wykorzystaniu sieci Wi-Fi. Cyberprzestępcy używali exploitów typu zero-day w programie Adobe Flash i innych popularnych produktach renomowanych producentów. Nie jest łatwo znaleźć takie luki, co potwierdza fakt, że za tą operacją stali albo bogaci sponsorzy, którzy mogą pozwolić sobie na zakup dość drogiej cyberbroni, albo osoby o wysokim poziomie profesjonalizmu, które brały udział w kampanii. A najprawdopodobniej i jedni, i drudzy.

klp_darkhotel_infografika

Wspomniana wyżej metoda wykorzystująca przemycanie szpiegowskiego oprogramowania była wykorzystywana najczęściej, ale nie była jedyną drogą dla cyberprzestępców, pomagającą wykonanie operacji, co może sugerować, że złoczyńcy byli zatrudniani przez hotele. Inny sposób wykorzystywał trojana, który był dystrybuowany przez klienty torrentowe jako część zhakowanego archiwum komiksów dla dorosłych w Chinach.

Cyberszpiedzy wykorzystywali także phishing ukierunkowany, wysyłając oszukańcze wiadomości do pracowników stanowych i organizacji typu non-profit.

Przestępcy użyli wyszukanego keyloggera. Oprogramowanie szpiegowskie używało zintegrowanego modułu do przechwycenia haseł zapisanych w popularnych przeglądarkach.

Poza wykorzystaniem luk zero-day wiele faktów wskazuje na wysoki poziom świadomości cyberprzestępców. Posunęli się nawet do tego, że wytwarzali cyfrowe certyfikaty bezpieczeństwa, które wykorzystywali do swojego szkodliwego oprogramowania. Aby szpiegować na kanałach komunikacyjnych wykorzystywanych przez wybrane ofiary, przestępcy używali wyszukanego keyloggera. Oprogramowanie szpiegowskie korzystało ze zintegrowanego modułu do przechwycenia haseł zapisanych w popularnych przeglądarkach.

Niespotykana była ostrożność sprawców – zastosowali oni wiele środków zapobiegających wykryciu szkodliwego oprogramowania. Po pierwsze, upewnili się, że wirus miał bardzo długi „okres inkubacji”: trojan po raz pierwszy połączył się z serwerami C&C dopiero 180 dni po przedostaniu się do systemów. Po drugie, program szpiegowski miał protokół autodestrukcji, aktywowany gdy język systemu zmieniał się na koreański.

Przestępcy działali głównie w Japonii, jak również w pobliżu Tajwanu i Chin. Jednak Kaspersky Lab wykrył ataki w innych krajach, włącznie ze znacznie oddalonymi od tych, które interesowały złoczyńców.

Komentując operację Darkhotel, Kurt Baumgartner, główny badacz ds. bezpieczeństwa w Kaspersky Lab, powiedział: „Przez ostatnie siedem lat osoby stojące za kampanią Darkhotel przeprowadziły wiele skutecznych ataków na szereg różnych ofiar z całego świata, stosując metody i techniki wykraczające poza typowe zachowania cyberprzestępcze. Atakujący posiadają kompetencje operacyjne, matematyczne i cyberanalityczne zdolności ofensywne oraz inne zasoby, dzięki którym mogą wykorzystać zaufane sieci komercyjne oraz atakować ze strategiczną precyzją określone kategorie ofiar”.

Pełny raport poświęcony zagrożeniu Darkhotel jest dostępny w języku angielskim na stronie http://r.kaspersky.pl/darkhotel. Dostępny jest także krótki film opisujący mechanizm ataku:

Na szczęście możemy powiedzieć, że produkty Kaspersky Lab wykrywają i neutralizują szkodliwe programy oraz ich odmiany wykorzystywane przez zestaw narzędzi Darkhotel. Całą historię o Darkhotel APT możesz przeczytać na SecureList.com.