Тип угрозы: вредоносное ПО, Комплексная таргетированная угроза класса APT
Самая последняя атака с использованием угрозы под названием Darkhotel была проанализирована командой GReAT «Лаборатории Касперского». Угроза Darkhotel представляет собой сочетание целевого фишинга и опасного вредоносного ПО, разработанного для перехвата конфиденциальных данных.
Группа злоумышленников, стоящая за Darkhotel, активна уже почти 10 лет. Ее жертвами стали тысячи пользователей по всему миру. Большая их часть (90%) находится в Японии, на Тайване, в Китае, России и Корее. Однако заражения Darkhotel также зафиксированы в Германии, США, Индонезии, Индии и Ирландии.
Эта кампания необычна тем, что в ней используются атаки разной степени таргетированности.
С одной стороны, в этих атаках используются целевые фишинговые письма для проникновения в базы промышленных объектов (DIB), правительств, НПО, крупных производителей электроники и периферийных устройств, фармацевтических компаний, медицинских учреждений, военных организаций и руководителей энергетической отрасли. Атаки происходят по типовой для целевого фишинга схеме с применением тщательно замаскированных имплантов Darkhotel. В качестве приманки использовались сообщения на такие темы, как ядерная энергетика и ядерное вооружение. В последние несколько лет в приложении к фишинговому письму содержался 0-day эксплойт к одному из продуктов Adobe или ссылка, которая направляет браузер организации-мишени на страницу с эксплойтом, использующим 0-day уязвимость в Internet Explorer. Их цель - украсть данные этих организаций.
С другой стороны, эти атаки неизбирательно распространяют вредоносное ПО через японские ресурсы P2P-обмена файлами. Вредоносная программа доставляется жертве в составе большого RAR-архива, который содержит сексуальный контент, но фактически устанавливает троянский бэкдор, предназначенный для сбора конфиденциальных данных жертвы.
В подходе, который находится где-то между первыми двумя, атаки нацелены на ничего не подозревающих руководителей компаний, которые едут за границу и останавливаются в отеле. Здесь их устройства заражают редким троянцем, который маскируется под обновления популярного ПО – Google Toolbar, Adobe Flash, Windows Messenger. На этом этапе злоумышленники определяют, насколько интересна попавшая в их сети жертва, и загружают на компьютеры наиболее значимых жертв другие вредоносные программы, предназначенные для кражи конфиденциальных данных с их компьютеров. Содержащаяся во вредоносном коде строка на корейском языке позволяет предположить, что источником возникновения угрозы является корейский злоумышленник.
Несмотря на техническую изощренность многих целевых атак, все они, как правило, начинаются с того, что обманом заставляют отдельных сотрудников делать что-то, что ставит под угрозу корпоративную безопасность. Персонал с публичными функциями (например, руководители высшего звена, специалисты по продажам и маркетингу) могут быть особенно уязвимыми особенно потому, что они часто находятся в разъездах и могут использовать ненадежные сети (например, в гостиницах) для подключения к корпоративной сети.
Полностью обезопасить себя вряд ли удастся, но вот несколько советов о том, как защитить свои устройства во время поездок.