Informacja prasowa - Rzecznik prasowy PL

„Darkhotel” – zagrożenie szpiegujące przedstawicieli
firm przebywających w hotelach
10 listopada 2014 r.
Eksperci z Kaspersky Lab ujawnili informacje o zagrożeniu „Darkhotel” - aktywnej od
przynajmniej czterech lat kampanii cyberszpiegowskiej, której celem są ściśle
wyselekcjonowani dyrektorzy korporacji podróżujący po świecie. Darkhotel atakuje
biznesmenów, gdy przebywają w luksusowych hotelach, a cyberprzestępcy nigdy nie
biorą na cel dwa razy tej samej osoby. Ataki przeprowadzane są z chirurgiczną
precyzją i polegają na wydobywaniu poufnych informacji z komputerów dyrektorów,
a po zakończeniu operacji ślady szkodliwej aktywności są usuwane. Najnowsze cele
ataków obejmują dyrektorów firm ze Stanów Zjednoczonych i Azji robiących interesy
w regionie Azji i Pacyfiku. Kaspersky Lab potwierdza, że kampania jest ciągle
aktywna.
Jak działa Darkhotel
Osoby stojące za kampanią przechowują w sieciach hotelowych własny zestaw narzędzi,
które dają im łatwy dostęp nawet do systemów powszechnie uważanych za bezpieczne.
Atakujący czekają, aż po zameldowaniu ofiara połączy się z hotelową siecią Wi-Fi, podając
numer pokoju oraz nazwisko jako login. Przestępcy widzą, że ofiara pojawiła się w sieci
i nakłaniają ją do pobrania oraz zainstalowania konia trojańskiego, który udaje uaktualnienie
dla popularnego oprogramowania – Google Toolbar, Adobe Flash lub Windows Messenger.
Niepodejrzewający niczego biznesmen pobiera ten „pakiet powitalny” i infekuje swój
komputer oprogramowaniem szpiegującym.
Pobrany na maszynę trojan pomaga atakującym w instalowaniu dalszych narzędzi –
podpisanego cyfrowo zaawansowanego keyloggera (trojan Karba), który przechwytuje
wszystkie znaki wprowadzane z klawiatury, oraz modułu kradnącego informacje. Aplikacje te
gromadzą dane o systemie i zainstalowanych narzędziach bezpieczeństwa, a dodatkowo
polują na hasła zapisane w przeglądarkach Firefox, Chrome, Internet Explorer, dane
logowania z usług Gmail Notifier, Twitter, Facebook, Yahoo!, Google i inne poufne
informacje. Ofiary mogą stracić wiele delikatnych danych, łącznie z własnością firm, które
reprezentują. Po zakończeniu operacji atakujący skrzętnie usuwają swoje narzędzia z sieci
hotelowej i cierpliwie oczekują na kolejną ofiarę.
Komentując zagrożenie Darkhotel, Kurt Baumgartner, główny badacz ds. bezpieczeństwa,
Kaspersky Lab, powiedział: „Przez ostatnie siedem lat osoby stojące za kampanią Darkhotel
przeprowadziły wiele skutecznych ataków na szereg różnych ofiar z całego świata, stosując
metody i techniki wykraczające poza typowe zachowania cyberprzestępcze. Atakujący
posiadają kompetencje operacyjne, matematyczne i cyberanalityczne zdolności ofensywne
oraz inne zasoby, dzięki którym mogą wykorzystać zaufane sieci komercyjne oraz atakować
ze strategiczną precyzją określone kategorie ofiar”.
Darkhotel może wydawać się niekonsekwentny pod względem swojej szkodliwej aktywności:
z jednej strony nie stosuje selekcji celów podczas rozprzestrzeniania szkodliwego
oprogramowania, z drugiej – przeprowadza wysoce ukierunkowane ataki. Szczegóły
dotyczące wektorów ataków wykorzystywanych w kampanii znajdują się w pełnym raporcie
Kaspersky Lab, dostępnym w języku angielskim na stronie http://r.kaspersky.pl/darkhotel.
„Połączenie ataków ukierunkowanych z masowymi staje się coraz częstszym zjawiskiem na
scenie długotrwałych kampanii cyberszpiegowskich. Te pierwsze są wykorzystywane w celu
uzyskania dostępu do systemów znanych celów, natomiast masowe operacje
wykorzystujące botnety służą do szpiegostwa, przeprowadzania ataków DDoS na wrogów
lub po prostu instalowania w systemach ofiar bardziej zaawansowanych narzędzi
szpiegowskich” – dodał Kurt Baumgartner.
Eksperci z Kaspersky Lab wykryli ślad pozostawiony przez atakujących w kodzie
szkodliwych programów kampanii Darkhotel, który może wskazywać na koreańskie
pochodzenie cyberprzestępców. Produkty Kaspersky Lab wykrywają i neutralizują wszystkie
szkodliwe programy działające w ramach operacji Darkhotel. Specjaliści z Kaspersky Lab
współpracują obecnie z wieloma organizacjami na świecie, by wyeliminować to zagrożenie.
Jak nie stać się ofiarą zagrożenia Darkhotel
Podczas podróży należy traktować jako potencjalnie niebezpieczne nie tylko sieci publiczne,
ale nawet te na wpół prywatne (jak np. w hotelach czy centrach biznesowych). Zagrożenie
Darkhotel ilustruje ewoluujący wektor zagrożeń, gdzie ofiarami są osoby, które posiadają
cenne informacje. Kaspersky Lab zaleca stosowanie się do następujących wskazówek:



Korzystaj z połączenia VPN, które zapewnia szyfrowaną transmisję danych, podczas
uzyskiwania dostępu do publicznych lub na wpół publicznych sieci Wi-Fi.
Podczas wyjazdów zawsze traktuj aktualizacje oprogramowania z podejrzliwością –
zadbaj o instalację wszystkich uaktualnień przed podróżą.
Zainstaluj wysokiej jakości oprogramowanie bezpieczeństwa internetowego: upewnij
się, że oprócz podstawowej ochrony antywirusowej zawiera również ochronę
proaktywną przed nowymi zagrożeniami.
Pełny raport poświęcony zagrożeniu Darkhotel jest dostępny w języku angielskim na stronie
http://r.kaspersky.pl/darkhotel. Dostępny jest także krótki film opisujący mechanizm ataku:
http://youtu.be/HQpGzivvtqg.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako
źródła.
Wszystkie informacje prasowe
http://www.kaspersky.pl/news.
Kaspersky
Lab
Dalszych informacji udziela
Piotr Kupczyk
Dyrektor biura komunikacji z mediami, Kaspersky Lab Polska
E-mail: [email protected]
Tel. bezpośredni: 22 206 59 61
Tel. kom.: 518 935 846
Polska
są
dostępne
na
stronie
Informacje o Kaspersky Lab
Kaspersky Lab jest największą na świecie prywatną firmą tworzącą rozwiązania do ochrony punktów końcowych.
Firma znalazła się w pierwszej czwórce producentów rozwiązań bezpieczeństwa punktów końcowych
w klasyfikacji ogólnoświatowej*. Od 17 lat swojej działalności Kaspersky Lab pozostaje innowatorem w dziedzinie
bezpieczeństwa IT i oferuje skuteczne rozwiązania bezpieczeństwa cyfrowego dla klientów indywidualnych, firm
z sektora SMB oraz przedsiębiorstw. Firma jest zarejestrowana w Wielkiej Brytanii i działa w prawie 200 krajach
na całym świecie, zapewniając ochronę ponad 300 milionom użytkowników. Polskie przedstawicielstwo firmy
istnieje od 2000 r. Więcej informacji można uzyskać na stronie www.kaspersky.pl. Informacje o bezpieczeństwie
przygotowywane przez ekspertów z firmy są dostępne w serwisie SecureList.pl oraz na oficjalnym blogu
Kaspersky Lab – Kaspersky Daily.
* Firma uplasowała się na czwartym miejscu w rankingu IDC Worldwide Endpoint Security Revenue by Vendor, 2013. Ranking
ten został opublikowany w raporcie IDC „Worldwide Endpoint Security 2014-2018 Forecast and 2013 Vendor Shares” (IDC
#250210, sierpień 2014). W raporcie producenci oprogramowania zostali uszeregowani według wysokości dochodów ze
sprzedaży rozwiązań bezpieczeństwa punktów końcowych w 2013 r.