Даже безобидное на вид мобильное приложение может выведать массу секретов неосторожного пользователя. Что уж говорить о более серьезных шпионских кампаниях, направленных на слежку за представителями крупных компаний и правительственных организаций.
Самое свежее «открытие» этой осени — обнаружение шпионской сети, получившей название Darkhotel, действовавшей на протяжении целых семи лет в азиатских гостиницах. И не только в них: умные и профессиональные шпионы за долгие годы своей деятельности создали целый ряд инструментов для проникновения в компьютеры своих жертв.
Первые упоминания ФБР об атаках на постояльцев отелей относятся относятся к 2012 году. Однако, связанные с деятельностью Darkhotel (также известной как Tapaoux) вредоносные программы циркулируют в сети еще с 2007 года. Также при исследовании логов серверов управления этой шпионской кампании были выявлены записи о подключениях, начиная с 1 января 2009 года. Одним словом, свою преступную деятельность кампания Darkhotel начала достаточно давно.
Такие уязвимости на дороге не валяются, и их использование говорит как минимум о высоком профессионализме участников шпионской организации, либо о весьма неплохом финансировании операций, позволяющем закупать недешевое кибероружие. А скорее, о том и другом одновременно.
Способ заражения шпионским ПО через гостиничный Wi-Fi для преступников основным, но не единственным. В качестве альтернативы использовалось распространение троянца через Торрент под видом архива переведенных на китайский язык японских комиксов для взрослых. Возможно, этот способ использовался для атаки на человека или нескольких людей с хорошо известными преступникам пристрастиями. Другая версия — таким образом злоумышленники решали какие-то дополнительные задачи, не связанные прямо со своей основной деятельностью.
Для слежения за коммуникациями своих жертв кибершпионы использовали весьма совершенную программу-кейлоггер. Также в шпионское ПО был встроен модуль, позволявший преступникам красть сохраненные пароли в популярных браузерах.
Заражения происходили главным образом в Японии, а также на Тайване, тесно связанном со страной Восходящего Солнца, и в соседнем Китае. Впрочем, экспертам удалось обнаружить атаки на пользователей и в других странах, в том числе и достаточно далеких от наиболее интересных преступникам территорий.
«Данная атака – это точно просчитанная операция. Однако наряду с такой хирургической точностью мы наблюдаем классические почтовые рассылки и вовсе нецелевое распространение троянца через файлообменные сети – скорее всего, злоумышленники решали сразу несколько задач в рамках одной кампании, – комментирует эксперт. – Помимо использования надежного защитного ПО мы рекомендуем с осторожностью относиться к обновлениям ПО во время путешествий – лучше позаботиться об этом до начала поездки. Использование технологий VPN или хотя бы HTTPS-протокола при выходе в Интернет в путешествии также является необходимой мерой по защите от подобных атак».
Axarhöfði 14,
110 Reykjavik, Iceland