Svet

Grupa za sajber špijunažu „Darkhotel“ pojačava napade

Capture1Pošto su u javnost „procureli“ podaci iz Hacking Team-a – kompanije koja je poznata po tome što prodaje „legalne špijunske softvere“ određenim vladama i  službama za sprovođenje zakona – veliki broj sajber špijunskih grupa je počeo zlonamerno da koristi alate koje je Hacking Team obezbedio za svoje korisnike i njihove napade. Ovo obuhvata nekoliko „exploit alata“ koji napadaju „Adobe Flash Player” i „Windows OS”. Bar jedan od ovih softvera je bio prerađen od strane moćne sajber špijunske grupe „Darkhotel”.

Capture

Darkhotel je elitna špijunska grupa, koju su otkrili stručnjaci kompanije Kaspersky Lab 2014. godine. Ova špijunska grupa je poznata po tome što se infiltrirala u Wi-Fi mreze luksiznih hotela kako bi kompromitovala unapred određene direktore korporacija, koristeci osetljivost nultog dana iz julske kolekcije Hacking Team-a, odmah pošto su fajlovi  Hacking Team-a procureli u javnost, 5. jula. Nije poznato da li je Darkhotel klijent Hacking Team-a, ali izgleda da je ova sajber grupa dospela do njoj potrebnih fajlova kada su oni postali javni.

Ovo nije jedini nulti dan koji je ova grupa koristila, Kaspersky Lab procenjuje da ih je, u proteklih nekoliko godina, koristila 6 ili više puta, napadajući „Adobe Flash Player”, očevidno ulažući značajne sume novca za dopunu svog arsenala.  U 2015. godini, „Darkhotel grupa je proširila svoj geografski domet širom sveta dok nastavlja sa napadima na ciljeve u Severnoj i Južnoj Koreji, Rusiji, Japanu, Bangladešu, Tajlandu, Indiji, Mozambiku  i Nemačkoj.

Kolateralna pomoć od „Hacking Team-a”

Stručnjaci za bezbednost iz kompanije Kaspersky Lab registrovali su nove tehnike i aktivnosti Darkhotel-a. Poznata grupa je označena kao „Napredna istrajna pretnja“ (Advanced Persistant Threat (APT)) koja je aktivna već skoro 8 godina. U napadima tokom 2014. godine i ranije„Darkhotel grupa je zloupotrebila ukradene, kodom potpisivane sertifikate i koristila neuobičajene metode, kao sto je infiltracija u  hotelske Wi-Fi mreze radi postavljanja špijunskih softvera na ciljane sisteme. U 2015. godini, mnoge od ovih tehnika i aktivnosti bile su korišćene, ali je kompanija Kaspersky Lab otkrila i nove varijante malicioznih izvršnih (exe) fajlova, tekuće korišćenje ukradenih sertifikata, neumorno imitiranje tehnika socijalnog inženjeringa i aktiviranje osteljivosti na „Hacking Team-ov „nulti dan“.:

  • Tekuće korisćenje ukradenih sertifikata. Izgleda da Darkhotel grupa ima zalihe ukradenih sertifikata i koristi svoje backdoor i download programe koji su potpisani ovim sertifikatima, kako bi prevarili ciljane sisteme. Neki od poslednjih povučenih sertifikata obuhvataju  Xuchang Hongguang Technology Co. Ltd. – kompaniju čiji su sertifikati korišćeni u prethodnim napadima drugih napadača.
  • Neumorno korišćenje spearphishing-a. APT Darkhotel-a je zaista uporan: pokušava da izvrši „spearphishing” na ciljanoj meti, i ako ne uspe, vraća se posle nekoliko meseci da pokuša još jednom sa gotovo istim šemama socijalnog inženjeringa.
  • Razvoj i širenje exploit alata nultog dana Hacking Team-a. Kompromitovani sajt, tisone360.com, sadrži skup backdoor i exploit alata. Ovde je najinteresantnija osetljivost na Hacking Team-ov virus „Flash nulti dan”.

Darkhotel se vratio sa jos jednim Adobe Flash Player exploit-om alatom koji je smešten na kompromitovani sajt, i ovog puta izgleda da je korišćeno curenje podataka„Hacking Team-a. Ova grupa je prethodno isporučila drugačiji „Flash exploit” na istoj internet stranici, koji smo mi, u januaru 2014. godine označili kao “nulti dan” za „Adobe. Izgleda da je „Darkhotel istrošio veliki broj„Flash nulti dan” i “poludnevnih exploit alata“ u proteklih nekoliko godina, a možda su obezbedili više njih  radi kasnijih izvođenja preciznih napada na  poznate ličnosti. Iz prethodnih napada znamo da „Darkhotel špijunira direktore,zamenike predsednika, direktore za prodaju i marketing, kao i vrhunsko osoblje koje radi u sektorima za istraživanja i razvoj.” – kaže Kurt Baumgartner, Glavni istrazivač za bezbednost u kompanijiKaspersky Lab

Da biste saznali više, molimo Vas da pročitate blog koji je dostupan na Securelist.com.    

Saveti o tome kako ublažiti APT, možete naći na: Kako ublažiti  85% svih ciljnih napada koristeći 4 jednostavne strategije).

About the author

Adria Daily Magazin

Adria Daily Magazin

Regionalni magazin. Imate vest? Javite nam: redakcija@adriadaily.com
Srbija | Hrvatska | Slovenija | BiH | Crna Gora | Makedonija

Add Comment

Click here to post a comment

Ovo veb mesto koristi Akismet kako bi smanjilo nepoželjne. Saznajte kako se vaši komentari obrađuju.