Ноябрь 11, 2014

Kaspersky Lab объявила о раскрытии новой кампании кибершпионажа Darkhotel. Целью злоумышленников в первую очередь стали постояльцы отелей премиум-класса — бизнесмены и чиновники.

Кроме целевых атак применялись также методы массового заражения пользователей файлообменных сетей, из-за чего на данный момент по всему миру скомпрометированы тысячи компьютеров. Среди жертв компании — генеральные директора, вице-президенты, а также топ-менеджеры по продажам и маркетингу предприятий различных сфер деятельности. Киберпреступники действовали незаметно в течение как минимум 7 лет.

Владеющие корейским языком злоумышленники распространяли вредоносное ПО для слежения тремя способами: через и файлообменные P2P-сети, целевые атаки по электронной почте, а также с помощью общественных Wi-Fi сетей в некоторых отелях Азии. Последний из перечисленных способов направлен на высокопоставленных лиц, которые ведут бизнес и привлекают инвестиции в странах Азии, поэтому заслуживает особого внимания.

Механика такого рода атаки была тщательно продумана: после того, как жертва заселялась в отель и подключалась к сломанной Wi-Fi сети, показывая свою фамилию с номером комнаты, ей автоматически предлагалось скачать обновление для популярного ПО — GoogleToolbar, Adobe Flash или Windows Messenger. В действительности запуск инсталлятора приводил к установке бэкдора, который помогал киберпреступникам оценить степень своего интереса к жертве и необходимость доставки сложных инструментов. Среди них — кейлоггер, троянец Karba, который собирает информацию о системе и установленных защитных продуктах, а также модуль, который ворует сохраненные пароли в Firefox, Chrome и Internet Explorer вместе с данными доступа к ряду сервисов, включая Twitter, Facebook и Google.

Другой вектор атаки этой же группировки предусматривает рассылку целевых писем по электронной почте с вредными модулями. Рассылки нацелены на предприятия оборонной промышленности, а также государственный сектор и общественные организации. Последние несколько лет вложением до этих писем служил эксплойт для уязвимости в ПО Adobe, или же они содержали ссылки на веб-ресурсы, которые эксплуатируют неизвестные ранее уязвимости Internet Explorer.

Другие способы заражения менее изысканный и таргетированы: например, злоумышленники распространяют троянца через японские файлообменные ресурсы в составе архивов под видом дешифровщика для видео-файлов, которые набирают десятки тысяч скачиваний.

«Данное нападение не просто таргетировано — это чётко продуманная операция. Однако вместе с такой хирургической точностью мы наблюдаем классические почтовые рассылки и совсем нецелевое распространения троянца через файлообменные сети — скорее всего, злоумышленники решали сразу несколько задач в рамках одной кампании, — комментирует Виталий Камлюк, ведущий антивирусный эксперт Kaspersky Lab. — Кроме использования надёжного защитного ПО мы рекомендуем с осторожностью относиться к обновлений во время путешествия ПО  — лучше позаботиться об этом до начала поездки. Использование технологий VPN или хотя бы HTTPS-протокола при выходе в Интернет в путешествии также является необходимой мерой по защите от подобных атак.»

Все вредные компоненты, которые применяются злоумышленниками в кампании кибершпионажа Darkhotel, выявляются и нейтрализуются защитными продуктами Kaspersky Lab.