10 ноября 2014

«Темный отель»: кибершпионская сеть в азиатских гостиницах

Новости Угрозы

Кибершпионаж — настоящий бич XXI века. Даже безобидное на вид мобильное приложение может выведать массу секретов неосторожного пользователя. Что уж говорить о более серьезных шпионских кампаниях, направленных на слежку за представителями крупных компаний и правительственных организаций.

DarkHotel: кибершпионская кампания в азиатских отелях

Самое свежее «открытие» этой осени — обнаружение специалистами «Лаборатории Касперского» шпионской сети, получившей название Darkhotel, действовавшей на протяжении целых семи лет в азиатских гостиницах. И не только в них — умные и профессиональные шпионы за долгие годы своей деятельности создали целый ряд инструментов для проникновения в компьютеры своих жертв.

Первые упоминания ФБР об атаках на постояльцев отелей относятся к 2012 году. Однако связанные с деятельностью Darkhotel (также известной как Tapaoux) вредоносные программы циркулируют в Сети еще с 2007 года. Также при исследовании логов серверов управления этой шпионской кампании были выявлены записи о подключениях начиная с 1 января 2009 года. Одним словом, свою преступную деятельность кампания Darkhotel начала достаточно давно.

Основной способ проникновения в компьютеры жертв — заражение через Wi-Fi-сети ряда отелей. Следует отметить, что для проникновения применялись уязвимости нулевого дня в Adobe Flash и других популярных продуктах крупнейших разработчиков. Такие уязвимости на дороге не валяются, и их использование говорит как минимум о высоком профессионализме участников шпионской организации либо о весьма неплохом финансировании операций, позволяющем закупать недешевое кибероружие. А скорее о том и другом одновременно.

The DarkHotel APT Infographics

Способ заражения шпионским ПО через гостиничный Wi-Fi для преступников является основным, но не единственным. В качестве альтернативы использовалось распространение троянца через торрент под видом архива переведенных на китайский язык японских комиксов для взрослых. Возможно, этот способ использовался для атаки на человека или нескольких людей с хорошо известными преступникам пристрастиями. Другая версия — таким образом злоумышленники решали какие-то дополнительные задачи, не связанные прямо со своей основной деятельностью.

В качестве еще одного пути заражения кибершпионы использовали адресный фишинг — электронные рассылки по адресам работников государственных и неправительственных организаций зараженных писем.

Кибершпионы использовали весьма совершенную программу-кейлоггер, также в шпионское ПО был встроен модуль, позволявший преступникам красть сохраненные пароли в популярных браузерах

Помимо использования уязвимостей нулевого дня о серьезном уровне подготовки преступников говорит еще несколько фактов. Например, им удалось подделать ряд цифровых сертификатов, которые они использовали для подписи своего вредоносного ПО.

Для слежения за коммуникациями своих жертв кибершпионы использовали весьма совершенную программу-кейлоггер. Также в шпионское ПО был встроен модуль, позволявший преступникам красть сохраненные пароли в популярных браузерах.

Интересно, что преступники были весьма и весьма осторожны и предусмотрели несколько защитных механизмов, затрудняющих обнаружение зловреда. Во-первых, они использовали весьма длительный «инкубационный период» вируса — троянец связывался с управляющим сервером лишь через 180 дней после проникновения в систему. Во-вторых, программа-шпион самоуничтожалась в том случае, если в системе происходила смена языка на корейский.

Darkhotel APT Geography

Заражения происходили главным образом в Японии, а также на Тайване, тесно связанном со Страной восходящего солнца, и в соседнем Китае. Впрочем, «Лаборатории Касперского» удалось обнаружить атаки на пользователей и в других странах, в том числе и достаточно далеких от наиболее интересных преступникам территорий.

«Данная атака — это точно просчитанная операция. Однако наряду с такой хирургической точностью мы наблюдаем классические почтовые рассылки и вовсе не целевое распространение троянца через файлообменные сети — скорее всего, злоумышленники решали сразу несколько задач в рамках одной кампании, — комментирует Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского». — Помимо использования надежного защитного ПО мы рекомендуем с осторожностью относиться к обновлениям ПО во время путешествий — лучше позаботиться об этом до начала поездки. Использование технологий VPN или хотя бы HTTPS-протокола при выходе в Интернет в путешествии также является необходимой мерой по защите от подобных атак».

Остается добавить, что все вредоносные компоненты, применяемые злоумышленниками в кампании кибершпионажа Darkhotel, выявляются и нейтрализуются защитными продуктами «Лаборатории Касперского». С подробным отчетом наших экспертов можно ознакомиться на сайте Securelist.com.