Darkhotel poluje na biznesmenów

Przeczytaj także: Ten trojan wyczyści ci konto bankowe

Jak działa Darkhotel?

Cyberprzestępcy bez problemu uzyskują dostęp do sieci hotelowych dzięki własnym narzędziom, które w nich przechowują. Osoba melduje się w hotelu, łączy z hotelową siecią Wi-Fi, podając jako login numer pokoju oraz nazwisko. Następnie jest nakłaniana do pobrania aktualizacji popularnego oprogramowania – Google Toolbar, Adobe Flash lub Windows Messenger. Jednak w rzeczywistości zamiast aktualizacji instalowany jest koń trojański, za pomocą którego atakujący instalują dalsze narzędzia – podpisanego cyfrowo zaawansowanego keyloggera (trojan Karba), który przechwytuje wszystkie znaki wprowadzane z klawiatury oraz modułu kradnącego informacje.

Aplikacje te gromadzą dane o systemie i zainstalowanych narzędziach bezpieczeństwa, a dodatkowo polują na hasła zapisane w przeglądarkach Firefox, Chrome, Internet Explorer, dane logowania z usług Gmail Notifier, Twitter, Facebook, Yahoo!, Google i inne poufne informacje. Ofiary mogą stracić wiele delikatnych danych, łącznie z własnością firm, które reprezentują. Po zakończeniu operacji atakujący skrzętnie usuwają swoje narzędzia z sieci hotelowej i cierpliwie oczekują na kolejną ofiarę.

Przez ostatnie siedem lat osoby stojące za kampanią Darkhotel przeprowadziły wiele skutecznych ataków na szereg różnych ofiar z całego świata, stosując metody i techniki wykraczające poza typowe zachowania cyberprzestępcze. Atakujący posiadają kompetencje operacyjne, matematyczne i cyberanalityczne zdolności ofensywne oraz inne zasoby, dzięki którym mogą wykorzystać zaufane sieci komercyjne oraz atakować ze strategiczną precyzją określone kategorie ofiar – powiedział Kurt Baumgartner, główny badacz ds. bezpieczeństwa, Kaspersky Lab

Jak uniknąć zagrożenia?

Należy pamiętać, że również sieci na wpół prywatne (jak np. w hotelach czy centrach biznesowych) mogą okazać się niebezpieczne. Kaspersky Lab zaleca stosowanie się do następujących wskazówek:

• Korzystaj z połączenia VPN, które zapewnia szyfrowaną transmisję danych podczas uzyskiwania dostępu do publicznych lub na wpół publicznych sieci Wi-Fi.
• Wszystkie uaktualnienia zainstaluj przed podróżą.
• Zainstaluj oprogramowanie bezpieczeństwa internetowego, które oprócz podstawowej ochrony antywirusowej zawiera również ochronę proaktywną przed nowymi zagrożeniami.

Ślad pozostawiony przez atakujących w kodzie szkodliwych programów kampanii Darkhotel może wskazywać na koreańskie pochodzenie cyberprzestępców. Specjaliści z Kaspersky Lab współpracują obecnie z wieloma organizacjami na świecie, by wyeliminować to zagrożenie.