АРТ-угроза Darkhotel

ОПРЕДЕЛЕНИЕ УГРОЗЫ

Тип угрозы: вредоносное ПО, Комплексная таргетированная угроза класса APT

Что такое угроза Darkhotel?

Самая последняя атака с использованием угрозы под названием Darkhotel была проанализирована командой GReAT «Лаборатории Касперского». Угроза Darkhotel представляет собой сочетание целевого фишинга и опасного вредоносного ПО, разработанного для перехвата конфиденциальных данных.

Группа злоумышленников, стоящая за Darkhotel, активна уже почти 10 лет. Ее жертвами стали тысячи пользователей по всему миру. Большая их часть (90%) находится в Японии, на Тайване, в Китае, России и Корее. Однако заражения Darkhotel также зафиксированы в Германии, США, Индонезии, Индии и Ирландии.

Подробности об угрозе

Как работает угроза Darkhotel?

Эта кампания необычна тем, что в ней используются атаки разной степени таргетированности.

(1) Целевой фишинг

С одной стороны, в этих атаках используются целевые фишинговые письма для проникновения в базы промышленных объектов (DIB), правительств, НПО, крупных производителей электроники и периферийных устройств, фармацевтических компаний, медицинских учреждений, военных организаций и руководителей энергетической отрасли. Атаки происходят по типовой для целевого фишинга схеме с применением тщательно замаскированных имплантов Darkhotel. В качестве приманки использовались сообщения на такие темы, как ядерная энергетика и ядерное вооружение. В последние несколько лет в приложении к фишинговому письму содержался 0-day эксплойт к одному из продуктов Adobe или ссылка, которая направляет браузер организации-мишени на страницу с эксплойтом, использующим 0-day уязвимость в Internet Explorer. Их цель - украсть данные этих организаций.

(2) Доставка вредоносного ПО

С другой стороны, эти атаки неизбирательно распространяют вредоносное ПО через японские ресурсы P2P-обмена файлами. Вредоносная программа доставляется жертве в составе большого RAR-архива, который содержит сексуальный контент, но фактически устанавливает троянский бэкдор, предназначенный для сбора конфиденциальных данных жертвы.

(3) Заражение

В подходе, который находится где-то между первыми двумя, атаки нацелены на ничего не подозревающих руководителей компаний, которые едут за границу и останавливаются в отеле. Здесь их устройства заражают редким троянцем, который маскируется под обновления популярного ПО – Google Toolbar, Adobe Flash, Windows Messenger. На этом этапе злоумышленники определяют, насколько интересна попавшая в их сети жертва, и загружают на компьютеры наиболее значимых жертв другие вредоносные программы, предназначенные для кражи конфиденциальных данных с их компьютеров. Содержащаяся во вредоносном коде строка на корейском языке позволяет предположить, что источником возникновения угрозы является корейский злоумышленник.

Каково значение Darkhotel?

Несмотря на техническую изощренность многих целевых атак, все они, как правило, начинаются с того, что обманом заставляют отдельных сотрудников делать что-то, что ставит под угрозу корпоративную безопасность. Персонал с публичными функциями (например, руководители высшего звена, специалисты по продажам и маркетингу) могут быть особенно уязвимыми особенно потому, что они часто находятся в разъездах и могут использовать ненадежные сети (например, в гостиницах) для подключения к корпоративной сети.

Отличительные особенности кампании Darkhotel

• Целевые атаки направлены на руководителей высшего звена: генеральных директоров, старших вице-президентов, директоров по продажам и маркетингу и глав R&D
• Группа использует разные по характеру кампании, как таргетированные, так и с использованием ботнетов. Они компрометируют гостиничные сети, а затем из этих сетей проводят атаки против жертв высокого уровня. Кроме того, они задействуют ботнеты для массовой слежки или выполнения других задач, таких как проведение DDoS-атак или просто установки на зараженных компьютерах более сложных инструментов шпионажа.
• Используются эксплойты к 0-day уязвимостям в Adobe и Internet Explorer.
• Используются сложные низкоуровневые кейлоггеры для кражи конфиденциальных данных.
• Вредоносный код подписан украденными цифровыми сертификатами.
• Продолжительная кампания - Darkhotel активна уже почти десять лет.

Как я могу защититься от атаки Darkhotel?

Полностью обезопасить себя вряд ли удастся, но вот несколько советов о том, как защитить свои устройства во время поездок.

1. Если вы планируете подключаться к общественному Wi-Fi или общественному Wi-Fi с частичным ограничением, используйте только доверенные VPN-туннели
2. Изучите принцип работы целевых фишинговых атак
3. Регулярно обновляйте все ПО системы
4. Всегда проверяйте исполняемые файлы и обращайтесь осторожно с файлами, передаваемыми через P2P-сети.
5. Во время путешествий старайтесь ограничить количество обновлений программного обеспечения.
6. Установите качественное защитное ПО: убедитесь, что оно включает проактивную защиту от новых угроз, а не просто базовую антивирусную защиту.

Другие статьи и ссылки по теме Вредоносные угрозы

• Обнаружение вредоносных программ и эксплойтов
• Удаление вредоносного кода
• Кто создает вредоносные программы?
• Выбор антивирусного решения