Sajber špijunaža: Grupa Darkhotel pojačava napade

Vesti, 14.08.2015, 09:04 AM

Sajber špijunaža: Grupa Darkhotel pojačava napade

Pošto su u javnost procureli podaci Hacking Teama, kompanije koja je poznata po tome što prodaje legalni špijunski softver vladama i policijama širom sveta, veliki broj grupa koje se bave sajber špijunažom je počeo da koristi alate kojima je Hacking Team snabdevao osvoje klijente. Ovo obuhvata nekoliko exploit alata koji se koriste za napad na Adobe Flash Player i Windows. Bar jedan od ovih programa je preradila i koristila moćna špijunska grupa „Darkhotel“.

Darkhotel je elitna špijunska grupa, koju su prošle godine otkrili stručnjaci kompanije Kaspersky Lab. Ova špijunska grupa je poznata po tome što se infiltrirala u Wi-Fi mreze luksiznih hotela kako bi kompromitovala uređaje unapred izabranih ciljeva, određenih direktora korporacija, koristeći 0 day exploit iz julske kolekcije Hacking Teama, odmah pošto su fajlovi Hacking Teama procureli u javnost, 5. jula. Nije poznato da li je Darkhotel klijent Hacking Team-a, ali izgleda da je ova sajber grupa dospela do njoj potrebnih fajlova kada su oni postali javni.

Ovo nije jedini 0-day exploit koji je ova grupa koristila. Kaspersky Lab procenjuje da ih je, u proteklih nekoliko godina, koristila 6 ili više puta, napadajući Adobe Flash Player, očevidno ulažući značajne sume novca za dopunu svog arsenala. U 2015. godini, grupa Darkhotel je proširila svoje delovanje u geografskom smislu dok je istovremeno nastavila sa napadima na ciljeve u Severnoj i Južnoj Koreji, Rusiji, Japanu, Bangladešu, Tajlandu, Indiji, Mozambiku i Nemačkoj.

Stručnjaci za bezbednost iz kompanije Kaspersky Lab registrovali su nove tehnike i aktivnosti Darkhotela. Grupa koja je inače aktivna već skoro osam godina je označena kao „Napredna istrajna pretnja“ (Advanced Persistant Threat (APT)). U napadima tokom 2014. godine i ranije Darkhotel je zloupotrebila ukradene sertifikate i koristila neuobičajene metode, kao što je infiltracija u hotelske Wi-Fi mreze radi postavljanja špijunskih softvera na ciljane sisteme. U 2015. godini, mnoge od ovih tehnika i aktivnosti bile su takođe korišćene, ali je kompanija Kaspersky Lab uočila i nove varijante malicioznih izvršnih (exe) fajlova, korišćenje ukradenih sertifikata, neumorno imitiranje tehnika društvenog inženjeringa i korišćenje 0-day exploita Hacking Teama:

  • Korišćenje ukradenih sertifikata. Izgleda da Darkhotel grupa ima zalihe ukradenih sertifikata i koristi svoje backdoor programe koji su potpisani ovim sertifikatima, kako bi prevarila ciljane sisteme. Neki od poslednjih povučenih sertifikata obuhvataju Xuchang Hongguang Technology Co. Ltd. - kompaniju čiji su sertifikati korišćeni u prethodnim napadima drugih napadača.
  • Neumorno korišćenje spear phishinga. Darkhotel je zaista uporan: pokušava spear phishing na ciljanoj meti, i ako ne uspe, vraća se posle nekoliko meseci da pokuša još jednom sa gotovo istim šemama društvenog inženjeringa.
  • Razvoj i širenje 0 day exploit alata Hacking Team-a. Kompromitovani sajt, tisone360.com, sadrži skup backdoor i exploit alata.

“Darkhotel se vratio sa jos jednim Adobe Flash Player exploit alatom koji je smešten na kompromitovani sajt, i ovog puta izgleda da je korišćeno curenje podataka Hacking Teama. Ova grupa je prethodno isporučila drugačiji Flash exploit na istoj internet stranici, koji smo mi, u januaru 2014. godine označili kao “nulti dan” za Adobe Flash Player. Izgleda da je „Darkhotel istrošio veliki broj 0 day Flash i “poludnevnih exploit alata“ u proteklih nekoliko godina, a možda su obezbedili više njih radi kasnijih izvođenja preciznih napada na poznate ličnosti. Iz prethodnih napada znamo da Darkhotel špijunira direktore, zamenike predsednika, direktore za prodaju i marketing, kao i vrhunsko osoblje koje radi u sektorima za istraživanja i razvoj”, kaže Kurt Baumgartner, glavni istrazivač za bezbednost u kompaniji Kaspersky Lab.

Više detalja o ovome možete naći na blogu kompanije Kaspersky Lab, Securelist.com.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Sofisticirana phishing kampanja koja cilja korisnike iPhonea poslednjih meseci ukazala je na slabost u Appleovom mehanizmu za resetovanje lozinke. Pre... Dalje

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje