(Frankfurt/Main, 11. November 2014) Hotel-Wlan sind nicht sicher: Immer öfter werden hochrangige Firmenmitarbeiter Ziel von elektronischen Spionageangriffen Tophotels. Vor einer international laufenden Hackerkampagne namens “Darkhotel” warnt nun das IT-Sicherheitsunternehmen Kapersky Lab. Die Hacker veränderten ständig ihre Strategie und suchen gezielt nach Profilen von Unternehmenschef und Firmenmanagern hauptsächlich aus den USA und Asien, um dann persönlichen Daten wie geheime/interne Unternehmensinfos, Kreditkartendaten oder Social-Media-Profilen zu durchsuchen. Auch Deutsche sollen betroffen sein.
Die Hackerkampagne “Darkhotel” laufe bereits seit vier Jahren und sei weiterhin aktiv, teilte Kapersky Lab mit. Die Angreifer gehen sehr präzise vor. Bei einem einmaligen Zugriff über das Hotel-Wlan des kompromittierten Hotels würden wertvolle Daten eingesammelt. Anschließend löschen die Angreifer ihre Spuren, ziehen sich zurück und warten auf das nächste hochrangige Opfer.
[youtube https://www.youtube.com/watch?v=8nMaZOPSRV0]
Die “Darkhotel”-Hintermänner verfügen demnach über eine Reihe effektiver Eingriffsmöglichkeiten in Hotel-Netzwerke, mit denen sie über die Jahre umfangreichen Zugang auch zu privat oder sicher geglaubten Systemen hatten. Wenn sich ein Opfer nach dem Check-in mit dem Hotel-Wlan verbindet und seine Zimmernummer sowie seinen Nachnamen in die Login-Maske eingibt, würden die Angreifer des kompromittierten drahtlosen Netzwerks aktiv.
Sie sollen das anvisierte Opfer dazu verleiten, ein Backdoor-Programm herunterzuladen und zu installieren, das sich als Update für eine Standardsoftware wie Google Toolbar, Adobe Flash oder Windows Messenger ausgebe. Tatsächlich infiziere der ahnungslose Manager seinen eigenen Rechner mit der Darkhotel-Spionagesoftware.
Infektion und Datenklau
Sei das Backdoor-Programm auf einem System installiert, könnten damit weitere fortschrittliche Diebstahl-Werkzeuge auf den infizierten Rechner geladen werden, dazu zählen ein hochentwickelter digital signierter Keylogger, der Trojaner “Karba” sowie ein Informationen stehlendes Modul. Diese Tools sollen Daten über das System und die darauf installierte Antivirensoftware sammeln, alle Tastaturanschläge mitlesen und nach in Firefox, Chrome sowie im Internet Explorer gespeicherten Passwörtern suchen; ebenso wie nach Zugangsdaten für Gmail Notifier, Twitter, Facebook, Yahoo! und Google sowie weiteren privaten Daten. Die Folge: Der Abfluss sensibler Informationen wie das geistige Eigentum der vom Opfer repräsentierten Geschäftseinheit. Nach der Operation reinigen die Angreifer das Hotelnetzwerk von ihren Werkzeugen und verbergen sich wieder im Hintergrund.
Neben der Cyberspionagekampagne auf hochrangige Geschäftsreisende in Luxus-Hotels, führten die Darkhotel-Akteure auch gezielte Spear-Phishing-Angriffe via E-Mail sowie Infektionen über Peer-to-Peer-Netzwerke durch. Die Experten von Kaspersky Lab identifizierten nach eigener Aussage hierbei Opfer aus der ganzen Welt, darunter auch aus Deutschland. Geschäftsreisende sollten grundsätzlich jedem Netzwerk misstrauen, auch halbprivaten in Hotels. Der Darkhotel-Fall stehe beispielhaft für eine aufkommende Angriffsart.
Kapersky Lab: How to outsmart Darkhotel’s tricks
When traveling, any network, even semi-private ones in hotels, should be viewed as potentially dangerous. The Darkhotel case illustrates an evolving attack vector: individuals who possess valuable information can easily fall victim to Darkhotel itself, as it is still active, or to something similar to a Darkhotel attack. To prevent this, Kaspersky Lab has the following tips:
Choose a Virtual Private Network (VPN) provider – you will get an encrypted communication channel when accessing public or semi-public Wi-Fi;
When traveling, always regard software updates as suspicious. Confirm that the proposed update installer is signed by the appropriate vendor.
Make sure your Internet security solution includes proactive defense against new threats rather than just basic antivirus protection
To read more about privacy tips, please visit cybersmart.kaspersky.com/privacy
Additional information
The attackers left a footprint in a string within their malicious code pointing to a Korean-speaking actor.
Kaspersky Lab’s products detect and neutralize the malicious programs and their variants used by the Darkhotel toolkit.
Kaspersky Lab is currently working with relevant organizations to best mitigate the problem.
To read the full report on the Darkhotel APT actor, please visit Securelist.
Watch the video demystifying the Darkhotel threat actor here.