Kaspersky Lab razotkriva elitnu špijunsku grupu zvanu „Darkhotels”

12. novembar, 2014
Eksperti tima za globalno istraživanje i analizu kompanije Kaspersky Lab istraživali su špijunsku grupu koju su nazvali „Darkhotels”, koja je vrebala iz senke bar četiri godine tokom koje su kradeni osetljivi podaci odabranih direktora koji putuju u inostranstvo. Špijunska grupa „Darkhotels” napada svoje mete dok odsedaju u luksuznim hotelima. Ekipa nikada ne napada istu metu dva puta, a svoje operacije izvode hirurški precizno, i uzimaju sve vredne podatke koje mogu tokom prvog kontakta, zatim brišu tragove svog posla i stapaju se sa okolinom dok čekaju sledeću uticajnu osobu. Najnovije mete jesu administatori iz vrha kompanija iz SAD-a i Azije, koje posluju i investiraju u azijsko-pacifičkom regionu: generalni direktori, viši potpredsednici, direktori prodaje i marketinga i ljudi iz vrha poslovnih jedinica za istraživanje i razvoj . Ko je sledeći? Kompanija Kaspersky Lab upozorava da ova grupa i dalje „vreba“.

Kako funkcioniše napad na hotele

Članovi grupe „Darkhotels“ upadaju na hotelske mreže već godinama, čak i u sisteme za koje se verovalo da su privatni i bezbedni. Oni čekaju da se žtrva, nakon prijave u hotel, „prikači“ na hotelsku mrežu Wi-Fi, za šta je potrebno da upiše broj sobe i prezime. Napadač ga vidi u kompromitovanoj mreži i prevari ga da skine i instalira zadnja vrata koja su prikazana kao apdejt legitimnog softvera – kao što su Google linija sa alatkama, Adobe Flash ili Windows Messenger. Žrtva, koja ništa ne sumnja, preuzima ovaj paket „dobrodošlice“ od hotela i time zarazi svoj uređaj zadnjim vratima, to jest špijunskim softverom Darkhotel-a.

Kada se nađu u sistemu, zadnja vrata mogu biti korišćena za dalje skidanje naprednijih alata za krađu – unapređena tastatura za elektronski potpis, trojanski virus „Karba“ i modul za krađu informacija. Pomoću ovih alata bivaju prikupljani podaci o sistemu i instaliranoj zaštiti, kradeni potezi na tastaturi i skrivene lozinke na pretraživačima Firefox, Chrome i Internet Explorer: notifikator za Gmail nalog, Twitter, Facebook, Yahoo! i Google podaci za logovanje, kao i druge privatne informacije. Žrtve gube osetljive informacije, najčešće, intelektualno vlasništvo firme koju zastupaju. Nakon operacije, napadači pažljivo brišu svoj alat iz hotelske mreže i ponovo se skrivaju.

Komentarišući slučaj „Darkhotel“, Kurt Bomgartner, glavni istraživač zaštite u kompaniji Kaspersky Lab kaže: „Tokom nekoliko prethodnih godina, jaka špijunska grupa pod imenom „Darkhotel“ izvela je određeni broj uspešnih napada na lica visokog profila, koristeći metode i tehnike koje daleko prevazilaze tipično ponašanje sajber-kriminalaca. Ova grupa ima operativne veštine, matematičke i kripto-analitičke veštine napadanja, i druge resurse koji su dovoljni za zloupotrebljavanje proverenih komercijalnih mreža i napadanje određenih kategorija žrtava strateški precizno.“

Međutim, zlokobne namere grupe „Darkhotel“ mogu biti nedosledne: ne prave razliku u svom širenju malvera pored svojih precizno ciljanih napada.

„Mešavina preciznih i nasumičnih napada postaje sve više i više uobičajena na sceni alata za napredno pakovanje, gde su ciljani napadi korišćeni da kompromituju žrtve visokog profila, a opracije u stilu botneta bivaju korišćene za masovni nadzor i obavljanje drugih zadataka kao što su sprečavanje delanja neprijateljskih grupa ili jednostavno unapređivanje sistema zanimljivih žrtava sofisticiranijim alatom za špijuniranje,“ dodao je Kurt Bomgartner.

Istraživači kompanije Kaspersky Lab nagoveštavaju da su napadači ostavili trag u nizu svog malicioznog koda kojim su uputili na korejskog glumca. Proizvodi kompanije Kaspersky Lab detektuju i neutrališu maliciozne programe i njihove varijante koje koristi kutija sa alatom Darkhotel-a. Kompanija Kaspersky Lab trenutno radi sa nadležnim organizacijama na umanjenju problema na najblaži mogući način.

Kako nadmudriti trikove špijunske grupe „Darkhotel“

Dok putujete, sve mreže, čak i one poluprivatne u hotelima, treba posmatrati kao potencijalno opasne. Slučaj „Darkhotel“ ilustruje rastući vektor napada: lica koja poseduju vredne informacije mogu lako postati žrtve same špijunske grupe „Darkhotel“, pošto je i dalje aktivan, ili nečega sličnog Darkhotel-u. Da bi to sprečili, kompanija Kaspersky Lab savetuje sledeće:
Izaberite provajder Virtualne privatne mreže (VPN) – dobićete šifrovani kanal za komunikaciju kada pristupate javnim ili polujavnim Wi-Fi mrežama.
Kada putuejee, uvek gledajte na apdejtove sofvera kao na sumnjive. Potvrdite da je preloženu instalaciju apdejta overio odgovarajući prodavac.
Pobrinite se da sigurnosno rešenje na Internetu obuhvata aktivnu zaštitu protiv novih pretnji pre nego samo osnovnu antivirus zaštitu.
Da pročitate više o savetima o bezbednosti, molilmo Vas posetite cybersmart.kaspersky.com/privacy.
Da pročitate ceo izveštaj o Darkhotel alatu za napredno pakovanje, idite na Securelist, dodatno je dostupan i video.

O kompaniji Kaspersky Lab
Kaspersky Lab je najveći svetski privatni prodavac bezbednosnih rešenja za krajnje korisnike. Kompanija je rangirana među četiri najbolja svetska proizvođača bezbedonosnih rešenja za krajnje korisnike. Tokom svoje sedamnaestogodišnje istorije kompanija Kaspersky Lab je ostala inovator u oblasti IT bezbednosti i pruža efektivna digitalna bezbednosna rešenja za potrošače, mala i srednja preduzeća i velike kompanije. Kaspersky Lab, sa holding kompanijom registrovanom u Ujedinjenom Kraljevstvu, trenutno posluje u skoro 200 zemalja i teritorija širom sveta, pružajući zaštitu za više od 300 miliona korisnika širom sveta. Saznajte više na veb sajtu www.kaspersky.com .
The company was rated fourth in the IDC rating Worldwide Endpoint Security Revenue by Vendor, 2013. The rating was published in the IDC report “Worldwide Endpoint Security 2014–2018 Forecast and 2013 Vendor Shares (IDC #250210, August 2014). The report ranked software vendors according to earnings from sales of endpoint security solutions in 2013.