Connect with us

EVENIMENT

Cum operează Darkhotel, gruparea care extrage date confidențiale prin wifi, de la victime cazate în hoteluri de lux

Publicat



DarkHotel este o grupare apărută în 2014, deşi se pare că ameninţarea îşi avea rădăcinile cu cel puţin patru ani în urmă, potrivit reprezentanților Centrului Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), care citează Agerpres. La momentul anunţului, Kaspersky şi Interpol semnează un pact de colaborare la acest caz, informează ziarul Alba24.ro.

Din investigaţia realizată de cele două entităţi rezultă faptul că DarkHotel era o campanie complexă de spionaj cibernetic care viza persoane cu funcţii de vârf din companii internaţionale, de la directori executivi, prim-vicepreşedinţi, directori de vânzări şi marketing, angajaţi cu rang înalt din cercetare şi dezvoltare. Aceştia erau cazaţi în anumite zone din Asia, unde există hoteluri de lux, frecventate de top manageri din ţările asiatice şi europene, inclusiv SUA.

Numele şi localizarea acestor hoteluri nu au fost dezvăluite.

Gruparea DarkHotel se înscrie pe acelaşi trend inovaţional propus de „breasla” infractorilor cibernetici. Conexiunile cu sau fără parole, de tip Wi-Fi, accesate în interiorul hotelurilor de toate clasificările s-au dovedit un punct vulnerabil pentru utilizatori, chiar din cele mai înalte clase sociale.

Dar cum funcţiona DarkHotel? Practic, după efectuarea operaţiunii de check-in la recepţia hotelului, de cele mai multe ori oaspeţii se conectau la reţeaua Wi-Fi a acestuia. În acest scop, le era solicitat numele de familie împreună cu un număr de cameră pentru conectare.

„Imediat după conectare, oaspetelui i se cere să descarce o actualizare pentru un software legitim, cum ar fi bara de instrumente Google, Adobe Flash sau Windows Messenger. Cum era de aşteptat, nu este vorba de o actualizare legitimă, ci de un backdoor. Odată descărcat pe dispozitiv, backdoor-ul îi ajută pe atacatori să identifice cât de importantă este victima. Apoi, ei decid dacă îl vor determina pe utilizator să descarce instrumente mai avansate”, explică experţii de la Kaspersky.

În procesul de compromitere a utilizatorului unui dispozitiv conectat la reţeaua Wi-Fi a hotelului respectiv, atacatorii au pregătit o serie de instrumente: un keylogger digital, un troian numit „Karba”, care colectează date despre sistem şi software-ul anti-malware instalat pe acesta, un modul care fură informaţii, cu scopul de a vâna parole salvate în memoria cache din browserele Firefox, Chrome şi Internet Explorer, împreună cu Gmail Notifier, Twitter, Facebook, Yahoo! şi datele de autentificare Google, precum şi alte informaţii private.

Nu trece mult timp de la logare şi victimele pierd date importante, care sunt, probabil, proprietatea intelectuală a companiilor pe care le reprezintă. Ulterior atacului, hackerii „ecologizează” cu atenţie toate urmele activităţilor lor din reţeaua hotelului.

Pagube şi metode de atac

Conform datelor centralizate de Kaspersky, infectările Darkhotel au afectat mii de dispozitive, majoritatea victimelor (90%) fiind localizate în Japonia, Taiwan, Rusia şi Coreea. Pe lista ţărilor afectate s-au mai aflat: Germania, SUA, Indonezia, India şi Irlanda.

Pe tot parcusul perioadei de vârf a ameninţării, pachetul Darkhotel a fost descărcat de peste 30.000 de ori, în mai puţin de şase luni.

Analizele efectuate în acea perioadă au arătat că activitatea Darkhotel a fost inconsecventă, în sensul că, alături de atacurile sale foarte bine direcţionate, a existat şi o răspândire nediscriminatorie a malware-ului.

„Atacatorii utilizează operaţiuni botnet pentru supraveghere sau pentru a îndeplini alte sarcini, cum ar fi atacurile DDoS sau pentru a instala instrumente de spionaj mai sofisticate pe computerele victimelor deosebit de interesante.

De asemenea, răspândesc malware în masă prin intermediul site-urilor japoneze P2P (peer-to-peer) de partajare a fişierelor. Malware-ul este livrat ca parte dintr-o arhivă RAR mare care promite să ofere conţinut sexual, dar instalează un troian backdoor ce le permite atacatorilor să efectueze o campanie de supraveghere în masă”, au susţinut specialiştii.

Aceştia au ajuns la concluzia că principalele puncte de interes ale grupării din spatele Darkhotel au fost: bazele industriale de apărare (DIB), guvernele, ONG-urile, producătorii mari de electronice şi periferice, companiile farmaceutice, furnizorii de servicii medicale, organizaţiile militare şi factorii de decizie în domeniul energiei. Toate atacurile au urmărit procesul tipic de phishing personalizat, cu e-mail-uri – capcană ce aveau ca subiecte energia nucleară şi armele.

Experţii Kaspersky au analizat îndeaproape activitatea atacatorilor din spatele DarkHotel şi codul malware produs de aceştia şi au stabilit că infractorul APT (Advanced Persistent Threat) este vorbitor de limbă coreeană.

Portofoliul DarkHotel se extinde…

O investigaţie a specialiştilor în securitate de la Bitdefender, realizată în iulie 2017, arăta că atacatorii din spatele grupării DarkHotel, recunoscută pentru atacuri ţintite asupra turiştilor din hoteluri, a vizat şi oamenii politici, nu numai şefi de companii şi oameni de afaceri.

Se pare că, în perioada 2007 – 2017, atacatorii au devenit cunoscuţi în industria securităţii cibernetice prin faptul că îşi alegeau victimele dintre turiştii hotelurilor, mai ales persoane cu funcţii înalte în organizaţii, care au acces deplin la informaţii cu importantă valoare comercială, precum prototipuri, proprietate intelectuală sau codul-sursă al programelor software.

Dar gruparea DarkHotel ataca şi politicieni, iar pe lângă tacticile de infecţie prin reţeaua Wi-Fi a hotelului, noua campanie, numită Inexsmar, folosea mesaje e-mail cu conţinut politic. Scopul atacului era sustragerea de informaţii de importanţă strategică, atât secrete de stat, cât şi date cu valoare comercială ridicată, menţionează specialişti Bitdefender.

”Atacatorii din spatele grupării DarkHotel, cunoscuţi de un deceniu pentru miile de victime ţintite de-a lungul timpului prin infrastructura Wi-Fi din hoteluri, şi-au îmbunăţăţit modalitatea de atac şi vizează acum personaje politice”, arată o cercetare derulată de specialiştii în securitate cibernetică ai Bitdefender.

Tipologia atacurilor şi mecanismul de livrare a infecţiei arată clar că gruparea din spatele atacului nu mai urmăreşte câştiguri financiare, ci mai degrabă furtul de informaţii clasificate. Gruparea DarkHotel ajungea la victimă printr-o schemă de atac extrem de complexă: un e-mail conceput special pentru ţintă, un program care se descarcă automat şi un sistem avansat de sustragere de date invizibil persoanei infectate, au precizat experţii.

Totodată, în concluziile cercetării, se nota faptul că noua abordare le permitea infractorilor să îşi menţină ameninţarea informatică mai competitivă şi flexibilă, inclusiv să o actualizeze, în condiţiile în care sistemele de apărare oferite de soluţiile de securitate au evoluat constant în ultimii ani.

Gruparea DarkHotel se înscrie pe acelaşi trend inovaţional propus de „breasla” infractorilor cibernetici. Conexiunile cu sau fără parole, de tip Wi-Fi, accesate în interiorul hotelurilor de toate clasificările s-au dovedit un punct vulnerabil pentru utilizatori, chiar din cele mai înalte clase sociale.

Combinaţia dintre atacurile ţintite şi cele „la întâmplare” se pare că reprezintă cheia succesului pe care pariază atacatorii. Iar cei din spatele DarkHotel au intuit acest lucru, utilizând instrumente sofisticate de spionaj cibernetic pentru a afecta „victime” cu miză mare.

Surse: CERT.RO, Agerpres


Dacă ți-a plăcut articolul și vrei să fii la curent cu ce scriem:


Comentează

Lasă un comentariu

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

EVENIMENT

O nouă tranşă de vaccin Pfizer/BioNTech soseşte luni în ţară

Publicat

O nouă tranşă de vaccin de la Pfizer/BioNTech, care constă în 511.290 doze, va sosi luni în România, vaccinurile fiind livrate pe cale aeriană, pe aeroporturile din Otopeni, Cluj-Napoca şi Timişoara, informează Comitetul Naţional de Coordonare a Activităţilor privind Vaccinarea împotriva COVID-19.

Potrivit sursei citate, transportul către centrele de stocare este asigurat de firma producătoare, inclusiv pe cale terestră, vaccinurile fiind transportate în condiţii optime de siguranţă, în containere speciale, cu gheaţă carbonică şi folie etanşă.

Astfel, procesul de vaccinare continuă atât în centrele din Bucureşti, cât şi din ţară, dozele fiind distribuite după cum urmează: Centrul Naţional de Stocare Bucureşti – 187.200 doze; Centrul Regional Braşov – 64.350 doze; Cluj – 62.010 doze; Constanţa – 50.310 doze; Craiova – 36.270 doze; Iaşi – 52.650 doze; Timişoara – 58.500 doze.

Până în prezent, România a recepţionat 3.374.729 doze de vaccin produse de compania Pfizer, iar 2.965.888 au fost deja utilizate pentru imunizarea populaţiei. AGERPRES

Citește mai departe

EVENIMENT

Argeș: Un autoturism în care se aflau şapte persoane s-a răsturnat. Șoferul băuse şi avea permisul suspendat

Publicat

Un autoturism în care se aflau şapte persoane s-a răsturnat pe un câmp, duminică, în zona localităţii argeşene Davideşti, poliţiştii stabilind că şoferul consumase alcool şi avea permisul suspendat, informează Inspectoratul de Poliţie Judeţean (IPJ) Argeş.

“Din verificările preliminare efectuate (…) s-a stabilit că un bărbat de 49 de ani, din Mihăeşti, care conducea un autoturism pe DN 73D, din direcţia Mioveni către Davideşti, ar fi pierdut controlul asupra direcţiei de deplasare, răsturnându-se în afara părţii carosabile. Conducătorul auto a fost testat cu aparatul etilotest, rezultatul indicând o valoare mai mare decât limita de 0,40mg/l alcool pur în aerul expirat. Totodată, poliţiştii au constatat faptul că şoferul avea dreptul de a conduce autovehicule suspendat”, precizează sursa citată.

În urma accidentului, bărbatul aflat la volan şi o femeie în vârstă de 20 de ani, însărcinată, au fost transportaţi la spital pentru investigaţii suplimentare.

Pe numele şoferului a fost întocmit dosar penal pentru conducerea unui vehicul fără drept, conducere sub influenţa alcoolului şi vătămare corporală din culpă. AGERPRES

Citește mai departe

EVENIMENT

Lucrări pe Autostrada A2 Bucureşti – Constanţa. Coloane de maşini de 2 kilometri

Publicat

Centrul Infotrafic informează că, duminică după-amiază, pe Autostrada A2 Bucureşti – Constanţa, pe sensul către Capitală, valorile de trafic sunt intense, în special în zona tronsoanelor kilometrice unde se efectuează lucrări de reparaţii la partea carosabilă, formându-se coloane în mişcare de aproximativ 2 kilometri.

Până la finalul lunii mai, pe autostrada A2 Bucureşti – Constanţa, pe tronsoanele kilometrice 11-17 şi 27-33, se circulă deviat de pe sensul către Bucureşti (calea 2) pe sensul către litoral (calea 1), traficul desfăşurându-se pe câte o bandă pentru fiecare direcţie. Măsura este impusă în vederea efectuării de lucrări de reabilitare a părţii carosabile.

De asemenea, este închis şi nodul rutier de acces în localităţile Cernica şi Bălăceanca, judeţul Ilfov, fiind restricţionată circulaţia pe breteaua de intrare/ieşire din autostradă şi DNCB, pe sensul Constanţa – Bucureşti.

Tot pe Autostrada A2, între kilometrii 155 şi 161 (Podul Cernavodă), din cauza lucrărilor de reparaţii, până la finalul lunii mai, circulaţia este restricţionată pe calea 2 (sensul către Bucureşti), traficul fiind deviat pe calea 1, unde se circulă pe câte o bandă, în ambele sensuri.

Conducătorii auto care încheie coloane de autovehicule ce încetinesc sau opresc brusc sunt sfătuiţi să pună în funcţiune luminile de avarie, pentru a-i atenţiona pe şoferii din spate să reducă din timp viteza. AGERPRES

Citește mai departe

EVENIMENT

Accident cu ATV-ul în Sibiu. Doi răniți, șoferul era băut

Publicat

Două persoane au fost rănite după ce ATV-ul pe care se aflau a intrat într-un cap de pod, în Porumbacu de jos, județul Sibiu.

Potrivit IPJ Sibiu, un localnic în vârsta de 43 de ani în timp ce conducea un ATV având direcția de deplasare Porumbacu de Jos spre Porumbacu de Sus a pierdut controlul asupra vehiculului și a intrat într-un cap de pod.

ISU Sibiu a intervenit de urgență cu două echipaje SMURD dintre care un echipaj SMURD cu medic.

Din accident a rezultat rănirea atât a bărbatului care conducea ATVul cât și a pasagerului, un localnic în vârsta de 39 de ani.

Bărbatul care conducea ATVul a fost testat cu aparatul etilotest, rezultatul fiind de 2,18 mg/l alcool pur in aerul expirat.

Cercetările continua in vederea stabilirii împrejurărilor in care s-a produs accidentul rutier.

Citește mai departe