הכירו את Darkhotel: הרשת שמרגלת אחריכם במלונות

אנשי עסקים ברחבי העולם שהשתמשו ברשת האלחוטית של המלון, הותקפו על ידי רשת ריגול מתוחכמת שגנבה מידע עסקי רב

אסף גולן | 11/11/2014 11:58

תגיות:

צוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי חשף השבוע את קמפיין הריגול "Darkhotel", אשר פעל בצללים במהלך 4 השנים האחרונות לפחות, כשהוא גונב מידע רגיש מבכירי עסקים בעת נסיעותיהם בעולם. "Darkhotel" פגע בקורבנות בעת שהותם בבתי מלון יוקרתיים. קמפיין הריגול מעולם לא תקף את אותה מטרה פעמיים: הוא ביצע פעולות בדיוק כירורגי, שלף את כל המידע בעל הערך שניתן היה להשיג בתקשורת הראשונה, ולאחר מכן מחק את עקבות עבודה ונמוג חזרה לצללים - עד לביקור של הבכיר החשוב הבא. הקורבנות האחרונים של הקמפיין כללו בכירי עסקים מארה"ב ואסיה - מנכ"לים, סגני נשיא בכירים, מנהלי מכירות ושיווק ואנשי מחקר ופיתוח מובילים - אשר הגיעו לפגישות עסקים בדרום מזרח אסיה. במעבדת האבטחה מתריעים: צוות הריגול עדיין פעיל!

קטעים נוספים

עוד כותרות ב-nrg:
- כל התכנים הכי מעניינים - בעמוד הפייסבוק שלנו

כיצד עובדת המתקפה?
מפעיל מתקפת Darkhotel מתפעל מערך חדירה יעיל על גבי רשת המלון, הוא מחכה עד אשר הקורבן מתחבר לרשת ה- Wi-Fi של המלון ומקליד את מספר החדר ואת שם המשפחה בעת הכניסה. התוקפים רואים אותו ברשת הפרוצה ומפתים אותו להוריד ולהתקין "דלת אחורית" אשר מתחזה לעדכון של תוכנה לגיטימית – כגון סרגל כלים של גוגל, אדובי פלאש או מסנג'ר של חלונות. הבכיר שאינו חושד במאום מוריד את חבילת "ברוך הבא" של המלון, רק על מנת להדביק את המחשב שלו ב"דלת אחורית", תוכנת הריגול של Darkhotel.

ברגע שהוחדרה למערכת, ניתן להשתמש בדלת האחורית כדי להוריד כלי גניבת נתונים מתקדמים נוספים: לוכד הקלדות מתקדם, את הסוס הטרויאני Karba ומודול לגניבת מידע. כלים אלה אוספים נתונים אודות המערכת המותקפת ואמצעי האנטי וירוס המותקנים בה, אוספים את כל לחיצות המקשים, ומחפשים אחר סיסמאות השמורות בפיירפוקס, כרום, אינטרנט אקספלורר, ג'ימייל, טוויטר, פייסבוק, יאהו וגוגל, וכן מידע אישי נוסף. באופן זה נגנב מהקורבנות מידע אישי רגיש – וכנראה גם נכסים בלתי מוחשיים של עסקיהם. לאחר הפעילות, התוקפים מוחקים בזהירות את הכלים שלהם מהרשת של המלון ונעלמים.

הדרך בה פורצים המרגלים לאיש העסקים במלון יח''צ

לדברי קורט באומגרטנר, חוקר אבטחה ראשי במעבדת האבטחה, "במהלך מספר שנים, שחקן חזק בשם Darkhotel ביצע מספר התקפות מוצלחות נגד בכירים בעלי פרופיל גבוה, כשהוא מפעיל שיטות וטכניקות מתקדמות בהרבה מאלה של עברייני הרשת הנפוצים. שחקן זה הוא בעל יכולת תפעולית, יכולות תקיפה מתמטיות וקריפטו-אנליטיות, ומשאבים נוספים המאפשרים ניצול של רשתות מסחריות אמינות, ותקיפה של מטרות נקודתיות עם דיוק אסטרטגי.

"השילוב בין התקפות ממוקדות והתקפות

ללא הבחנה הופך להיות נפוץ יותר ויותר בגזרת הריגול המקוון. משתמשים בהתקפות ממוקדות כדי לסכן קורבנות פרופיל גבוה, בעוד פעילות בסגנון בוטנט משמשת למטרות ריגול המוני ולביצוע משימות אחרות, כגון DDoSing על קבוצות עוינות או פשוט שדרוג של קורבנות מעניינים באמצעות כלי ריגול מתוחכמים יותר", הוסיף קורט באומגרטנר.

כיצד לחמוק ממלכודת ה-Darkhotel
כאשר נמצאים בנסיעות, מוטב להתייחס לכל רשת ציבורית כגורם סיכון. מקרה ה- Darkhotel מדגים את ערוצי התקיפה המתפתחים: אדם יחיד המחזיק במידע רב ערך יכול ליפול בקלות כקורבן ל- Darkhotel עצמה, או להתקפות דומות ל- Darkhotel. כדי למנוע זאת, מעבדת האבטחה ממליצה על האמצעים הבאים:

בחירת ספק VPN – באמצעותו תקבלו ערוץ תקשורת מאובטח בעת גישה לרשתות ציבוריות וחצי ציבוריות. בזמן נסיעות, תמיד תתייחס לעדכוני תוכנה בחשד. וודא כי העדכון המוצע חתום על ידי הספק המתאים. וודא כי פתרון האבטחת האינטרנט שלך כולל הגנה אקטיבית כנגד איומים חדשים ולא רק הגנת אנטי וירוס בסיסית.
היכנסו לעמוד הפייסבוק החדש של nrg

הוסף תגובה

הדפסה