SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
11 Ноя 2014

«Темный отель»: кибершпионская сеть в азиатских гостиницах

Даже безобидное на вид мобильное приложение может выведать массу секретов неосторожного пользователя. Что уж говорить о более серьезных шпионских кампаниях, направленных на слежку за представителями крупных компаний и правительственных организаций.

Самое свежее «открытие» этой осени — обнаружение шпионской сети, получившей название Darkhotel, действовавшей на протяжении целых семи лет в азиатских гостиницах. И не только в них: умные и профессиональные шпионы за долгие годы своей деятельности создали целый ряд инструментов для проникновения в компьютеры своих жертв.

Первые упоминания ФБР об атаках на постояльцев отелей относятся относятся к 2012 году. Однако, связанные с деятельностью Darkhotel (также известной как Tapaoux) вредоносные программы циркулируют в сети еще с 2007 года. Также при исследовании логов серверов управления этой шпионской кампании были выявлены записи о подключениях, начиная с 1 января 2009 года. Одним словом, свою преступную деятельность кампания Darkhotel начала достаточно давно.

Основной способ проникновения в компьютеры жертв — заражение через Wi-Fi сети ряда отелей. Следует отметить, что для проникновения применялись уязвимости нулевого дня в Adobe Flash и других популярных продуктов крупнейших разработчиков.

Такие уязвимости на дороге не валяются, и их использование говорит как минимум о высоком профессионализме участников шпионской организации, либо о весьма неплохом финансировании операций, позволяющем закупать недешевое кибероружие. А скорее, о том и другом одновременно.

Способ заражения шпионским ПО через гостиничный Wi-Fi для преступников основным, но не единственным. В качестве альтернативы использовалось распространение троянца через Торрент под видом архива переведенных на китайский язык японских комиксов для взрослых. Возможно, этот способ использовался для атаки на человека или нескольких людей с хорошо известными преступникам пристрастиями. Другая версия — таким образом злоумышленники решали какие-то дополнительные задачи, не связанные прямо со своей основной деятельностью.

В качестве еще одного пути заражения кибершпионы использовали адресный фишинг — электронные рассылки по адресам работников государственных и неправительственных организаций зараженных писем. Помимо использования уязвимостей нулевого дня, о серьезном уровне подготовки преступников говорит еще несколько фактов. Например, им удалось подделать ряд цифровых сертификатов, которые они использовали для подписи своего вредоносного ПО.

Для слежения за коммуникациями своих жертв кибершпионы использовали весьма совершенную программу-кейлоггер. Также в шпионское ПО был встроен модуль, позволявший преступникам красть сохраненные пароли в популярных браузерах.

Интересно, что преступники были весьма и весьма осторожны и предусмотрели несколько защитных механизмов, затрудняющих обнаружение зловреда. Во-первых, они использовали весьма длительный «инкубационный период» вируса — троянец связывался с управляющим сервером лишь через 180 дней после проникновения в систему. Во-вторых, программа-шпион самоуничтожалась в том случае, если в системе происходила смена языка на корейский.

Заражения происходили главным образом в Японии, а также на Тайване, тесно связанном со страной Восходящего Солнца, и в соседнем Китае. Впрочем, экспертам удалось обнаружить атаки на пользователей и в других странах, в том числе и достаточно далеких от наиболее интересных преступникам территорий.

«Данная атака – это точно просчитанная операция. Однако наряду с такой хирургической точностью мы наблюдаем классические почтовые рассылки и вовсе нецелевое распространение троянца через файлообменные сети – скорее всего, злоумышленники решали сразу несколько задач в рамках одной кампании, – комментирует эксперт. – Помимо использования надежного защитного ПО мы рекомендуем с осторожностью относиться к обновлениям ПО во время путешествий – лучше позаботиться об этом до начала поездки. Использование технологий VPN или хотя бы HTTPS-протокола при выходе в Интернет в путешествии также является необходимой мерой по защите от подобных атак».

Теги:
наблюдение мошенничество Wi-Fi Азия DarkHotel
Источник:
Kaspersky Daily
Автор:
Alex Drozhzhin
1102
ДРУГИЕ НОВОСТИ
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
17 Май 2018 safeum news imgage Крупнейшие сотовые операторы США продают доступ к данным о местоположении клиентов
16 Май 2018 safeum news imgage В Австралии Google обвинили в сборе данных за счет пользователей
15 Май 2018 safeum news imgage Wi-Fi для пассажиров позволяет хакерам захватить управление поездом
15 Май 2018 safeum news imgage Произошла утечка данных трёх миллионов пользователей Facebook
Все новости
SafeUM
Конфиденциальность Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015