Ismét támadásba lendült a Darkhotel kiberkém csoport

forrás: Prím Online, 2015. augusztus 13. 13:35

A Hacking Team – amely „legális kémprogramokat” árul egyes kormányoknak és rendvédelmi szerveknek – fájljainak kiszivárogtatását követően több hackercsoport elkezdte használni rosszindulatú célokra a vállalat eszközeit. Ezek között megtalálhatók az Adobe Flash Playert és a Windowst célzó különféle kihasználó kódok. Közülük egyet a kiberkémkedéssel foglalkozó hírhedt Darkhotel” csoport is felvett az eszköztárába. 

A Kaspersky Lab fedezte fel 2014-ben a Darkhotel elit hackercsapatot, amely arról vált ismertté, hogy luxusszállodák Wi-Fi hálózatán keresztül feltörte az ott vendégeskedő céges felsővezetők számítógépét. A kiberbűnözők július elejétől a Hacking Team gyűjteményéből megszerzett nulladik napi sérülékenységet használják ki. A Hacking Team fájljaihoz akkor juthattak hozzá, amikor azokat nyilvánosan elérhetővé tették az interneten.

 

Ez nem a csoport által használt egyetlen nulladik napi sérülékenység: a Kaspersky Lab becslése szerint az elmúlt néhány évben a Darkhotel féltucatnyinál is több nulladik napi sebezhetőséget támadott az Adobe Flash Playerben, nyilvánvalóan komoly összegeket fordítva fegyverarzenáljának bővítésére. Az idén további földrajzi régiókra terjesztették ki tevékenységüket, miközben továbbra is folytatták célzott adathalász támadásaikat az Észak- és Dél-Koreában, Oroszországban, Japánban, Bangladesben, Thaiföldön, Indiában, Mozambikban és Németországban lévő célpontok ellen.

 

Közvetett segítség a Hacking Teamtől

 

A Kaspersky Lab biztonsági kutatói új technikákat és tevékenységeket észleltek a Darkhotel csoportnál, amely egy közel nyolc éve aktív, ismert APT (fejlett tartós fenyegetés) szereplő. A 2014-ben és korábban elkövetett támadások esetében a csoport lopott tanúsítványok segítségével és szállodák Wi-Fi hálózatainak a feltörésével juttatott el kémprogramokat áldozatai számítógépére. 2015-ben továbbra is használja eme technikák nagy részét, sőt, a Kaspersky Lab vizsgálatai szerint a rosszindulatú végrehajtható fájlok új variánsait állította harcrendbe a csoport, továbbá pszichológiai trükkökkel és a Hacking Teamtől átvett nulladik napi sérülékenység kihasználásával fertőzi meg a kiszemelt személyek számítógépét. A következő módszereket alkalmazza:

 

 

 

 

„A Darkhotel egy újabb, ezúttal a Hacking Teamtől származó Adobe Flash Player kihasználással tért vissza, amelyet egy feltört weboldalon helyezett el. A csoport korábban egy másik Flash kihasználást vetett be ugyanezen a webhelyen, amelyet 2014 januárjában minősített nulladik napinak az Adobe. A Darkhotel egy sor nulladik napi és frissen nyilvánosságra került sebezhetőséget próbált meg kihasználni az elmúlt néhány évben, amelyek révén célzott támadásokat hajtott végre fontos személyek ellen világszerte. A korábbi támadásokból kiderült, hogy a Darkhotel vezérigazgatók, alelnökök, értékesítési és marketing vezetők, valamint neves kutatók után kémkedik.” - mondta Kurt Baumgartner, a Kaspersky Lab vezető biztonsági kutatója.

 

Tavaly óta a csoport keményen dolgozik védelmi technikái továbbfejlesztésén: a Darkhotel letöltőjének 2015-ös változata 27 gyártó antivírus technológiáját tudja azonosítani annak érdekében, hogy kijátssza őket.