Ismét támadásba lendült a Darkhotel kiberkém csoport
2015. augusztus 13.
A Hacking Team – amely „legális kémprogramokat” árul egyes kormányoknak és rendvédelmi szerveknek – fájljainak kiszivárogtatását követően több hackercsoport elkezdte használni rosszindulatú célokra a vállalat eszközeit. Ezek között megtalálhatók az Adobe Flash Playert és a Windowst célzó különféle kihasználó kódok. Közülük egyet a kiberkémkedéssel foglalkozó hírhedt „Darkhotel” csoport is felvett az eszköztárába.
A Kaspersky Lab fedezte fel 2014-ben a Darkhotel elit hackercsapatot, amely arról vált ismertté, hogy luxusszállodák Wi-Fi hálózatán keresztül feltörte az ott vendégeskedő céges felsővezetők számítógépét. A kiberbűnözők július elejétől a Hacking Team gyűjteményéből megszerzett nulladik napi sérülékenységet használják ki. A Hacking Team fájljaihoz akkor juthattak hozzá, amikor azokat nyilvánosan elérhetővé tették az interneten.
Ez nem a csoport által használt egyetlen nulladik napi sérülékenység: a Kaspersky Lab becslése szerint az elmúlt néhány évben a Darkhotel féltucatnyinál is több nulladik napi sebezhetőséget támadott az Adobe Flash Playerben, nyilvánvalóan komoly összegeket fordítva fegyverarzenáljának bővítésére. Az idén további földrajzi régiókra terjesztették ki tevékenységüket, miközben továbbra is folytatták célzott adathalász támadásaikat az Észak- és Dél-Koreában, Oroszországban, Japánban, Bangladesben, Thaiföldön, Indiában, Mozambikban és Németországban lévő célpontok ellen.
Közvetett segítség a Hacking Teamtől
A Kaspersky Lab biztonsági kutatói új technikákat és tevékenységeket észleltek a Darkhotel csoportnál, amely egy közel nyolc éve aktív, ismert APT (fejlett tartós fenyegetés) szereplő. A 2014-ben és korábban elkövetett támadások esetében a csoport lopott tanúsítványok segítségével és szállodák Wi-Fi hálózatainak a feltörésével juttatott el kémprogramokat áldozatai számítógépére. 2015-ben továbbra is használja eme technikák nagy részét, sőt, a Kaspersky Lab vizsgálatai szerint a rosszindulatú végrehajtható fájlok új variánsait állította harcrendbe a csoport, továbbá pszichológiai trükkökkel és a Hacking Teamtől átvett nulladik napi sérülékenység kihasználásával fertőzi meg a kiszemelt személyek számítógépét. A következő módszereket alkalmazza:
- Lopott tanúsítványok folyamatos használata. Úgy tűnik, a Darkhotel csoport a lopott tanúsítványok egész gyűjteményét tartja fenn, amelyeket a rosszindulatú programok aláírására használ, hogy kicselezze a célgép védelmi rendszerét. A legfrissebb tanúsítványok egy része a Xuchang Hongguang Technology Co. Ltd.-től származik, ennek a cégnek a tanúsítványait használták a Darkhotel korábbi támadásainál is.
- Célzott adathalászat. A Darkhotel APT egy valóban makacs fenyegetés: ha nem jár sikerrel a célzott adathalászat, hónapokkal később újra próbálkozik szinte ugyanazokkal a pszichológiai trükkökkel.
- A Hacking Tean nulladik napi sérülékenységének a kihasználása. A feltört tisone360.com webhely backdoorokat és kihasználó kódokat tartalmaz. A legérdekesebb közülük a Hacking Teamtől származó nulladik napi sérülékenység a Flashben.
„A Darkhotel egy újabb, ezúttal a Hacking Teamtől származó Adobe Flash Player kihasználással tért vissza, amelyet egy feltört weboldalon helyezett el. A csoport korábban egy másik Flash kihasználást vetett be ugyanezen a webhelyen, amelyet 2014 januárjában minősített nulladik napinak az Adobe. A Darkhotel egy sor nulladik napi és frissen nyilvánosságra került sebezhetőséget próbált meg kihasználni az elmúlt néhány évben, amelyek révén célzott támadásokat hajtott végre fontos személyek ellen világszerte. A korábbi támadásokból kiderült, hogy a Darkhotel vezérigazgatók, alelnökök, értékesítési és marketing vezetők, valamint neves kutatók után kémkedik.” - mondta Kurt Baumgartner, a Kaspersky Lab vezető biztonsági kutatója.
Tavaly óta a csoport keményen dolgozik védelmi technikái továbbfejlesztésén: a Darkhotel letöltőjének 2015-ös változata 27 gyártó antivírus technológiáját tudja azonosítani annak érdekében, hogy kijátssza őket.
Kapcsolódó cikkek
- Ötből egy DDoS támadás napokig, illetve hetekig is eltarthat
- Vezetés közben hekkelhetik meg a Jeepedet
- A világ legjobb hackereire vadászik a BalaBit
- A meghekkelt autó esete az autóiparral
- Egyre többször a kkv-kat veszik célba a hackerek
- A Wild Neutron kiberkém csoport újra visszatért
- A United Airlines több millió mérföldet ajándékozott a biztonsági réseket megtaláló hackereknek
- Megjelent a Kaspersky Small Office új verziója
- Egyetlen DDoS támadás akár 400 000 dolláros kárt is okozhat
- Egyszerűen megvédhetjük Facebook fiókunkat