Sajber špijunaža: Grupa Darkhotel pojačava napade

Vesti, 14.08.2015, 09:04 AM

Pošto su u javnost procureli podaci Hacking Teama, kompanije koja je poznata po tome što prodaje legalni špijunski softver vladama i policijama širom sveta, veliki broj grupa koje se bave sajber špijunažom je počeo da koristi alate kojima je Hacking Team snabdevao osvoje klijente. Ovo obuhvata nekoliko exploit alata koji se koriste za napad na Adobe Flash Player i Windows. Bar jedan od ovih programa je preradila i koristila moćna špijunska grupa „Darkhotel“.

Darkhotel je elitna špijunska grupa, koju su prošle godine otkrili stručnjaci kompanije Kaspersky Lab. Ova špijunska grupa je poznata po tome što se infiltrirala u Wi-Fi mreze luksiznih hotela kako bi kompromitovala uređaje unapred izabranih ciljeva, određenih direktora korporacija, koristeći 0 day exploit iz julske kolekcije Hacking Teama, odmah pošto su fajlovi Hacking Teama procureli u javnost, 5. jula. Nije poznato da li je Darkhotel klijent Hacking Team-a, ali izgleda da je ova sajber grupa dospela do njoj potrebnih fajlova kada su oni postali javni.

Ovo nije jedini 0-day exploit koji je ova grupa koristila. Kaspersky Lab procenjuje da ih je, u proteklih nekoliko godina, koristila 6 ili više puta, napadajući Adobe Flash Player, očevidno ulažući značajne sume novca za dopunu svog arsenala. U 2015. godini, grupa Darkhotel je proširila svoje delovanje u geografskom smislu dok je istovremeno nastavila sa napadima na ciljeve u Severnoj i Južnoj Koreji, Rusiji, Japanu, Bangladešu, Tajlandu, Indiji, Mozambiku i Nemačkoj.

Stručnjaci za bezbednost iz kompanije Kaspersky Lab registrovali su nove tehnike i aktivnosti Darkhotela. Grupa koja je inače aktivna već skoro osam godina je označena kao „Napredna istrajna pretnja“ (Advanced Persistant Threat (APT)). U napadima tokom 2014. godine i ranije Darkhotel je zloupotrebila ukradene sertifikate i koristila neuobičajene metode, kao što je infiltracija u hotelske Wi-Fi mreze radi postavljanja špijunskih softvera na ciljane sisteme. U 2015. godini, mnoge od ovih tehnika i aktivnosti bile su takođe korišćene, ali je kompanija Kaspersky Lab uočila i nove varijante malicioznih izvršnih (exe) fajlova, korišćenje ukradenih sertifikata, neumorno imitiranje tehnika društvenog inženjeringa i korišćenje 0-day exploita Hacking Teama:

• Korišćenje ukradenih sertifikata. Izgleda da Darkhotel grupa ima zalihe ukradenih sertifikata i koristi svoje backdoor programe koji su potpisani ovim sertifikatima, kako bi prevarila ciljane sisteme. Neki od poslednjih povučenih sertifikata obuhvataju Xuchang Hongguang Technology Co. Ltd. - kompaniju čiji su sertifikati korišćeni u prethodnim napadima drugih napadača.

• Neumorno korišćenje spear phishinga. Darkhotel je zaista uporan: pokušava spear phishing na ciljanoj meti, i ako ne uspe, vraća se posle nekoliko meseci da pokuša još jednom sa gotovo istim šemama društvenog inženjeringa.

• Razvoj i širenje 0 day exploit alata Hacking Team-a. Kompromitovani sajt, tisone360.com, sadrži skup backdoor i exploit alata.

“Darkhotel se vratio sa jos jednim Adobe Flash Player exploit alatom koji je smešten na kompromitovani sajt, i ovog puta izgleda da je korišćeno curenje podataka Hacking Teama. Ova grupa je prethodno isporučila drugačiji Flash exploit na istoj internet stranici, koji smo mi, u januaru 2014. godine označili kao “nulti dan” za Adobe Flash Player. Izgleda da je „Darkhotel istrošio veliki broj 0 day Flash i “poludnevnih exploit alata“ u proteklih nekoliko godina, a možda su obezbedili više njih radi kasnijih izvođenja preciznih napada na poznate ličnosti. Iz prethodnih napada znamo da Darkhotel špijunira direktore, zamenike predsednika, direktore za prodaju i marketing, kao i vrhunsko osoblje koje radi u sektorima za istraživanja i razvoj”, kaže Kurt Baumgartner, glavni istrazivač za bezbednost u kompaniji Kaspersky Lab.

Više detalja o ovome možete naći na blogu kompanije Kaspersky Lab, Securelist.com.