Darkhotel atakuje z użyciem exploita skradzionego od Hacking Teamu

Piotr Kupczyk 10-08-2015, 14:05

Tego należało się spodziewać! Pamiętacie włamanie do firmy Hacking Team, która tworzy szpiegowskie oprogramowanie na potrzeby służb specjalnych różnych krajów? Do danych, które wówczas wyciekły, dobrała się grupa Darkhotel, która nie zawahała się ich wykorzystać do swoich niecnych celów.

Eksperci z Kaspersky Lab odkryli, że Darkhotel, zaawansowane cyberprzestępcze ugrupowanie szpiegowskie zidentyfikowane w 2014 r., które infiltrowało sieci Wi-Fi w luksusowych hotelach, biorąc na celownik wybranych dyrektorów korporacji, od lipca 2015 r. wykorzystywało dane wykradzione od organizacji Hacking Team. Cyberprzestępcy użyli szkodliwego kodu wykorzystującego niezałataną jeszcze lukę (tzw. exploit zero-day) niedługo po nagłośnionym wycieku plików Hacking Teamu, który miał miejsce 5 lipca 2015 r. Grupa Darkhotel, która nie należała do klientów firmy Hacking Team, prawdopodobnie przechwyciła pliki, jak tylko stały się one dostępne publicznie.

W ciągu ostatnich kilku lat grupa Darkhotel mogła wykorzystać co najmniej pół tuzina szkodliwych programów atakujących poprzez niezałatane luki w aplikacji Adobe Flash Player, inwestując prawdopodobnie sporo pieniędzy, aby uzupełnić swój arsenał. W 2015 r. grupa Darkhotel rozszerzyła swój zasięg geograficzny na cały świat, kontynuując jednocześnie ukierunkowane ataki phishingowe w Korei Północnej i Południowej, Rosji, Japonii, Bangladeszu, Tajlandii, Indiach, Mozambiku i Niemczech.

Darkhotel

Fot. pzAxe / Shutterstock

W atakach z 2014 r. i wcześniejszych grupa wykorzystała do własnych celów skradzione certyfikaty służące do podpisywania kodu i stosowała nietypowe metody, takie jak włamywanie się do sieci Wi-Fi w celu umieszczenia w atakowanych systemach narzędzi szpiegowskich. W 2015 r. wiele z tych technik i działań było kontynuowanych, jednak badacze odkryli również nowe warianty szkodliwych plików wykonywalnych, regularne wykorzystywanie skradzionych certyfikatów, socjotechniki oraz zastosowanie narzędzi skradzionych od organizacji Hacking Team.

Poza ostatnim wykorzystaniem szkodliwego kodu należącego do Hacking Teamu, funkcjonowanie grupy Darkhotel charakteryzuje się następującymi działaniami:

  • Ciągłe wykorzystywanie skradzionych certyfikatów. Grupa gromadzi skradzione certyfikaty i instaluje podpisane nimi szkodliwe programy w celu zmylenia atakowanego systemu.
  • Nieprzerwane ataki phishingowe. Grupa Darkhotel jest bardzo wytrwała – próbuje zaatakować cel przy użyciu ukierunkowanych wiadomości phishingowych, a jeśli atak się nie powiedzie, wraca kilka miesięcy później z następnym atakiem, stosując niemal te same metody socjotechniki.

– Darkhotel powrócił z kolejnym exploitem dla Adobe Flash Playera, który jest przechowywany na zhakowanej stronie. Tym razem wydaje się, że został uzyskany w wyniku ataku na Hacking Team. Wcześniej grupa Darkhotel umieściła na tej samej stronie innego exploita dla Flasha, którego zidentyfikowaliśmy i zgłosiliśmy firmie Adobe w styczniu 2014 r. W ciągu minionych kilku lat ludzie stojący za omawianą kampanią cyberszpiegowską prawdopodobnie wykorzystali wiele podatności Flasha w celu przeprowadzania precyzyjnych ataków na kluczowe osoby na całym świecie. Wcześniejsze ataki pokazują, że Darkhotel szpieguje dyrektorów generalnych, zastępców prezesów, dyrektorów ds. sprzedaży i marketingu oraz starszy personel działów badawczo-rozwojowych – powiedział Kurt Baumgartner, główny badacz bezpieczeństwa, Kaspersky Lab.

Od ubiegłego roku grupa Darkhotel ciężko pracuje nad udoskonalaniem swoich technik obronnych, rozszerzając między innymi swój arsenał technologii przeciwdziałających wykrywaniu. Celem jednego z nowych szkodliwych programów tego ugrupowania jest identyfikowanie technologii antywirusowych 27 dostawców w celu ich obejścia.

Czytaj także: Co nam po włamaniu do Hacking Teamu - wyjaśniają Piotr Konieczny, Michał Sajdak, Ruchna Nigam i Maciej Kotowicz


  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Lipiec 2020»
PoWtŚrCzwPtSbNd
 12345
6789101112
13141516171819
20212223242526
2728293031