14 ноября 2014

Тёмная история Darkhotel

Бизнес

Интерпол и Центр глобальных исследований и анализа (GReAT) «Лаборатории Касперского» только что обнародовали подробные данные о новой угрозе с многозначительным названием Darkhotel, которая была активна в течение, по меньшей мере, четырех лет, и насчитывает уже тысячи пострадавших.

Darkhotel — это сложная кибершпионская кампания, мишенью которой является руководство фирм в лице гендиректоров, старших вице-президентов, директоров по продажам и маркетингу, а также старший персонал отделов НИОКР. Сама кампания походит на сюжет шпионского фильма, роман Стивена Кинга и детектив в одном флаконе. По счастью, окровавленных трупов или отрубленных конечностей в ней не предвидится, вот только это действительно единственная хорошая в кампании вещь.

Так что же это за тёмная история?

В некоторых регионах Азии есть шикарные отели, которые часто посещают топ-менеджеры из стран Азии и Европы и из США. Название и расположение этих отелей, понятное дело, не разглашается, но от подобных мест предполагается предоставление не только комфорта, но и конфиденциальности с безопасностью. Тем не менее, с двумя последними пунктами вышла незадача.

После регистрации гость отеля, скорее всего, попытается подключиться к Wi-Fi в локальной сети. Отель затребует его/ее фамилию вместе с номером комнаты при входе в систему.

Кликните по изображению, чтобы открыть полноразмерный вариант.

Кликните по изображению, чтобы открыть полноразмерный вариант.

Сразу после входа в систему гостю предложат загрузить обновление для известного программного обеспечения наподобие Google Toolbar, AdobeFlash или WindowsMessenger. Вот если в этот момент вы насторожились, то вы угадали: это нелегитимные обновления ПО. Ничего не подозревающий пользователь только что установил себе бэкдор.

После загрузки в машину бэкдор помогает злоумышленникам определить степень важности жертвы. Затем они уже решают, следует ли загрузить этому пользователю более продвинутые инструменты. У них наготове их хватает: усовершенствованный кейлоггер с цифровой подписью, троянец Karba, который собирает данные о системе и установленном в ней защитном программном обеспечении, модуль кражи данных, предназначенный для охоты на кэшированные пароли в браузерах Firefox, Chrome и InternetExplorerвместе с учетными данными Twitter, Facebook, Yahoo!, Google и другой личной информацией. Жертвы теряют конфиденциальные данные, вероятно, интеллектуальную собственность тех хозяйствующих субъектов, которые они представляют. Важно отметить, что после операции злоумышленники тщательно подчищают все следы собственной деятельности, а именно удаляют свои инструменты из гостиничной сети и растворяются во мраке.

Технические подробности доступны на Securelist.

Гостиницы, даже те, что класса люкс, не так уж сведущи в вопросах кибербезопасности. Общественные компьютеры, которыми пользуются посетители для доступа в сеть, зачастую оснащены устаревшим и неподконтрольным программным обеспечением (включая WindowsXP) и порой кишат вредоносными программами всех видов. Крайне опасно вводить любые конфиденциальные данные на таких ПК, как и на всяких публичных компьютерах в принципе (к сожалению, люди не уделяют этому должного внимания пока не теряют деньги).

От роскошного отеля посетитель вправе ожидать отсутствия «мелких проблем с кибербезопасностью» и того, что он будет застрахован от чего-либо подобного. Но не тут-то было. Инфекция Darkhotel распространилась на тысячи машин по всему миру с большинством (90%) пострадавших в Японии, на Тайване, в Китае, России и Корее. Среди прочих пострадавших стран числятся Германия, США, Индонезия, Индия и Ирландия.

Однако деятельность Darkhotel может быть непоследовательной: наряду с весьма нацеленными атаками ему свойственно бесконтрольное распространение вредоносов. Нападавшие используют операции в стиле ботнетов для массовой слежки или выполнения прочих задач, таких как DDoS-атаки (распределенного отказа в обслуживании) или установки более сложных шпионских инструментов на компьютеры особенно интересных жертв. Преступники также беспорядочно распространяют вредоносное ПО через японские P2P-сайты (пиринговые) для файлообмена. Вредоносная программа передается в виде компонента большого архива RAR, который якобы содержит контент для взрослых, но вместо этого устанавливает бэкдор-троян, позволяющий злоумышленникам осуществить массовую слежку.

Этот пакет Darkhotelбыл загружен свыше 30 000 раз менее чем за шесть месяцев.

«Сочетание направленных и беспорядочных атак становится все более распространенным на APT-арене, где нацеленные атаки применяются для компрометации высокопоставленных жертв, а операции в стиле ботнетов используют для массовой слежки или выполнения других задач, таких как DDoS-атаки на враждебные группы или просто обновление шпионского арсенала на компьютерах интересных жертв», — заявил ведущий ученый аналитик «Лаборатории Касперского» Курт Баумгартнер.

Авторов АРТ Darkhotel на данный момент уже успели уличить в проявлении особой заинтересованности по отношению к оборонно-промышленному комплексу, правительственным ведомствам, неправительственным организациям, крупным производителям электроники и периферийного оборудования, фармацевтическим компаниям, медицинским учреждениям, связанным с военными организациям и энергетическим предприятиям. Атаки осуществляются по стандартному типу спиэрфишинга, вредоносные компоненты Darkhotel — тщательно замаскированы.

Содержание приманки в электронной почте часто затрагивает такие темы, как ядерная энергетика и оружейный потенциал, что, скорее всего, отражает хорошую осведомленность преступников о текущих событиях в мире. В последние несколько лет спиэрфишинговые письма содержали эксплойт нулевого дня Adobeили ссылки, направлявшие браузер жертвы к страницам с эксплойтом нулевого дня InternetExplorer. Нападавшие, по словам Баумгартнера, «обладают оперативной компетенцией, математическими и криптоаналитическими атакующими возможностями и другими ресурсами, достаточными для злоупотребления коммерческими сетями и выцеливания конкретных категорий жертв со стратегической точностью».

Если судить по коду вредоноса, проанализированного экспертами «Лаборатории Касперского», APT-преступник говорит по-корейски.

Международный деловой и промышленный кибершпионаж перестал уже считаться экзотикой. Он распространен повсюду, и существует множество групп со своими интересами и возможностями, выходящими далеко за пределы простого скрипта. Кибершпионы даже более продвинуты, чем опытные кибермошенники вроде тех, что недавно «подоили» много банкоматов, украв миллионы при помощи вредоносных программ. Важнейшим фактором является не идентификация того, кто стоит за атаками, а то, что всякий публичный Wi-Fi, в том числе полуобщественные сети в отелях, небезопасен, и его использование, особенно установка программного обеспечения оттуда (даже если источник кажется легитимным), может навредить.

Несколько кратких фактов и рекомендаций по Darkhotel:

  • Нападавшие оставили след в строке вредоносного кода, указывающий на говорящего по-корейски преступника.
  • Продукты «Лаборатории Касперского» обнаруживают и нейтрализуют вредоносные программы в любых вариантах, используемых инструментарием Darkhotel.
  • «Лаборатория Касперского» в настоящее время сотрудничает с соответствующими организациями над выработкой наилучшего решения проблемы.

Для обеспечения безопасности «Лаборатория Касперского рекомендует следующие меры:

  • Выберите провайдера виртуальной частной сети (VPN): вы получите зашифрованный канал связи при доступе в общественный или полуобщественный Wi-Fi.
  • Во время путешествия всегда относитесь с подозрением к любым обновлениям программного обеспечения. Удостоверьтесь, что предлагаемое для установки обновление подписано соответствующим вендором.
  • Убедитесь, что ваше решение интернет-безопасности включает проактивную защиту от новых угроз, а не только основной набор средств антивирусной защиты.

Здесь можно прочитать больше советов по конфиденциальности.