A Kaspersky Lab fedezte fel 2014-ben a Darkhotel elit hackercsapatot, amely arról vált ismertté, hogy luxusszállodák WiFi-hálózatán keresztül feltörte az ott vendégeskedő céges felsővezetők számítógépét. A kiberbűnözők július elejétől a Hacking Team gyűjteményéből megszerzett nulladik napi sérülékenységet használják ki. A Hacking Team fájljaihoz akkor juthattak hozzá, amikor nyilvánosan elérhetővé tették őket az interneten.
Ez nem a csoport által használt egyetlen nulladik napi sérülékenység: a Kaspersky Lab becslése szerint a múlt néhány évben a Darkhotel féltucatnyinál is több nulladik napi sebezhetőséget támadott az Adobe Flash Playerben, nyilvánvalóan komoly összegeket fordítva fegyverarzenáljának bővítésére. Az idén további földrajzi régiókra terjesztették ki tevékenységüket, miközben folytatták célzott adathalász-támadásaikat kiszemelt célpontok ellen Észak- és Dél-Koreában, Oroszországban, Japánban, Bangladesben, Thaiföldön, Indiában, Mozambikban és Németországban.
A Kaspersky Lab biztonsági kutatói új technikákat és tevékenységeket észleltek a Darkhotel-csoportnál, amely nyolc éve aktív, ismert APT (fejlett tartós fenyegetés) -szereplő. A 2014-ben és még előtte elkövetett támadások esetében a csoport lopott tanúsítványok segítségével és szállodák WiFi-hálózatainak a feltörésével juttatott el kémprogramokat áldozatai számítógépére. Az idén továbbra is használja eme technikák nagy részét, sőt, a Kaspersky Lab vizsgálatai szerint a rosszindulatú végrehajtható fájlok új variánsait állította harcrendbe a csoport, továbbá pszichológiai trükkökkel és a Hacking Teamtől átvett nulladik napi sérülékenység kihasználásával fertőzi meg a kiszemelt személyek számítógépét. A következő módszereket alkalmazza:
- Lopott tanúsítványok folyamatos használata. Úgy tűnik föl, a Darkhotel-csoport a lopott tanúsítványok egész gyűjteményét tartja fenn, amelyet a rosszindulatú programok aláírására használ, hogy kicselezze a célgép védelmi rendszerét. A legfrissebb tanúsítványok egy része a Xuchang Hongguang Technology Co. Ltd.-től származik, ennek a cégnek a tanúsítványait használták a Darkhotel előző támadásainál is.
- Célzott adathalászat. A Darkhotel APT egy valóban makacs fenyegetés: ha nem jár sikerrel a célzott adathalászat, hónapokkal később újra próbálkozik szinte ugyanazokkal a pszichológiai trükkökkel.
- A Hacking Team nulladik napi sérülékenységének a kihasználása. A feltört tisone360.com webhely backdoorokat és kihasználó kódokat tartalmaz. A legérdekesebb közülük a Hacking Teamtől származó nulladik napi sérülékenység a Flashben.
„A Darkhotel egy újabb, ezúttal a Hacking Teamtől származó Adobe Flash Player kihasználással tért vissza, amelyet egy feltört weboldalon helyezett el. A csoport egy másik Flash kihasználást is bevetett ugyanezen a webhelyen, amelyet 2014 januárjában minősített nulladik napinak az Adobe. A Darkhotel egy sor nulladik napi és frissen nyilvánosságra került sebezhetőséget próbált meg kihasználni a múlt néhány évben, amelynek révén célzott támadásokat hajtott végre fontos személyek ellen világszerte. A támadásokból kiderült, hogy a Darkhotel vezérigazgatók, alelnökök, értékesítési és marketing-vezetők, valamint neves kutatók után kémkedik” – mondta Kurt Baumgartner, a Kaspersky Lab vezető biztonsági kutatója.
Tavaly óta a csoport keményen dolgozik védelmi technikáinak a továbbfejlesztésén: a Darkhotel letöltőjének 2015-i változata 27 gyártó antivírus-technológiáját tudja azonosítani avégett, hogy kijátssza valamennyit.
