Darkhotel vzdržuje učinkovit niz vdorov na hotelska omrežja, ki so v preteklih letih zagotavljala zadosten dostop tudi do sistemov, ki naj bi bili zasebni in varni. Napadalci počakajo do prijave, ko se žrtev poveže na hotelsko brezžično omrežje ter mora pri tem navesti številko sobe in priimek za prijavo v omrežje. Napadalci žrtev vidijo v ogroženem omrežju in ga napeljejo k prenosu in naložitvi tako imenovanjih zadnjih vrat, ki se pretvarjajo, da je posodobitev za zakonito programsko opremo – Google Toolbar, Adobe Flash ali Windows Messenger. Nič hudega sluteči uporabnik prenese hotelski »paket dobrodošlice« in s tem okuži svojo napravo z zadnjimi vrati – Darkhotelovo vohunsko programsko opremo.
Ko so enkrat v sistemu, se zadnja vrata uporabijo ali pa se jih lahko uporablja za nadaljnje prenose naprednih orodij za krajo: digitalno podpisan napreden program za beleženje pritiskov na tipke, trojanec »Karba« in modul za informacijsko krajo. Ta orodja zbirajo podatke o sistemu in zaščitni programski opremi nameščeni na njem, beležijo vse pritiske na tipke in iščejo gesla v Firefoxu, Chromu in Internet Explorerju. Prav tako tudi iščejo gesla za prijavo in druge zasebne infromacije Gmailu Notifierju, Twitterju, Facebooku, Yahooju in Googlu. Žrtve izgubijo občutljive informacije – verjetno intelektualno lastnino poslovnih subjektov, ki jih zastopajo. Po operaciji napadalci skrbno izbrišejo svoja orodja iz hotelske mreže in se vrnejo v zakulisje.
Kurt Baumgartner, glavni varnostni raziskovalec pri Kaspersky Labu, je v glede Darkhotela dejal: »V zadnjih nekaj letih je močan igralec imenovan Darkhotel izvedel nekaj uspešnih napadov na posameznike, z uporabo metod in tehnik, ki močno presegajo tipično vedenje kibernetskih kriminalcev. Ta ogrožajoč igralec ima operativno usposobljenost, matematične in kripto-analitične napadalne zmogljivosti in druge vire, ki zadostujejo za zlorabo zaupanja vrednih komercialnih mrež, ter s strateško natančnostjo ciljajo določene kategorije žrtev.«
Vendar je zlonamerna dejavnost Darkhotela lahko neskladna: poleg svojih visoko usmerjenih napadov, so vsesplošni v širjenju zlonamerne programske opreme. Več si lahko preberete o teh posebnih zlonamernih dostavnih vektorjih tukaj.
»Mešanica obeh, ciljnih in vsesplošnih napadov, postaja bolj in bolj pogosta v tako imenovani APT sceni, kjer se usmerjeni napadi uporabljajo za ogrožanje specifičnih profilov posameznikov; operacije v stilu botnet se uporabljajo za množični nadzor ali opravljanje drugih nalog, kot so DDoSing sovražne stranke ali pa preprosto izpostavijo zanimive žrtve bolj sofisticiranim vohunskim orodjem«, je dodal Kurt Baumgartner.
Kaspersky Lab raziskovalci so pokazali, da so napadalci pustili odtis v nizu njihove zlonamerne kode, ki kaže na korejsko govorečega igralca. Izdelki Kaspersky Lab odkrijejo in nevtralizirajo zlonamerne programe in njihove različice, ki jih uporabljajo Darkhotelova orodja. Z namenom, da se problem kar se da omeji, Kaspersky Lab trenutno sodeluje z ustreznimi organizacijami.
Kako prelisičiti zvijače Darkhotela
Ko potujete, je vsako omrežje, tudi tista delno-zasebna v hotelih, treba obravnavati kot potencialno nevarno. Primer Darkhotel ponazarja razvijajoč napadalni vektor in posamezniki, ki imajo koristne informacije lahko zlahka postanejo žrtev Darkhotela samega, saj je še vedno aktiven, ali česa podobnega kot je napad Darkhotela. Da bi to preprečili, so nasveti Kaspersky Laba naslednji:
• Izberite ponudnika navidezno zasebnega omrežja (VPN) – dobili boste šifriran komunikacijski kanal pri dostopu do javnih ali delno-javnih brezžičnih omrežij;
• Ko potujete, posodobitve programske opreme vedno obravnavajte kot sumljive. Potrdite, da je predlagan namestilnik posodobitve podpisan s strani ustreznega prodajalca.
• Poskrbite, da vaša internetna varnostna rešitev vključuje proaktivno zaščito pred novimi grožnjami in ne zgolj osnovno protivirusno zaščito.
