Кибершпионская группировка, которую в «Лаборатории Касперского» называют Darkhotel, внедряет вредоносный код в веб-порталы, в которых обычно надо ввести фамилию и номер, чтобы войти в гостиничную локальную сеть для доступа к Интернету.
Инфекции, как правило, краткосрочны и нацелены на конкретных гостей — им предлагается загрузить обновления популярных приложений, зараженные троянцами. Такое обновление устанавливает вредонос, который загружает и инсталлирует заверенные цифровыми сертификатами программы для хищения информации.
«Похоже, атакующие заранее знают даты прибытия и отъезда своих жертв из отеля», — пишут исследователи «Лаборатории Касперского» в своем отчете. Атака начинается в момент, когда прибывший соединяется с Интернетом.
Как только жертва выбывает из гостиницы, злоумышленники дезактивируют вредоносный код, внедренный в сетевой портал отеля, чтобы замести следы.
«Сейчас идут ревизии, очистка от вредоносов и укрепление систем безопасности зараженных порталов», — отмечают авторы отчета.
Группировка Darkhotel примечательна тем, что организует узконаправленные атаки в комбинации с ненаправленными, основанными на ботнете. Взлом цифровых сертификатов в сочетании с использованием уязвимостей нулевого дня свидетельствует о том, что этим занимается высококвалифицированная команда разработчиков. Однако в управляющей инфраструктуре ботнета выявлены плохо сконфигурированные серверы и примитивные ошибки, а это в свою очередь указывает, что ею управляют менее опытные злоумышленники.
«Судя по хорошо обеспеченному процессу разработки и обширной динамической инфраструктуре, используемой атакующими, можно предположить, что в предстоящие годы мы еще услышим о Darkhotel», — говорится в блоге «Лаборатории Касперского».
Пик атак, совершаемых через гостиничные сети, пришелся на период с августа 2010-го по 2013 год, но отдельные инциденты зарегистрированы и в нынешнем году.
Группировка кибершпионов предположительно, начала деятельность еще в 2007 году или даже раньше и пользовалась также другими методами атак, в том числе отправляла адресные фишинговые письма с вложениями и ссылками, использовавшими уязвимости нулевого дня в Flash Player и Internet Explorer, и распространяла зараженные файлы по файлообменным сетям.
Большинство вредоносных компонентов, используемых Darkhotel, подписано действительными цифровыми сертификатами — либо двойниками сертификатов со взломанными 512-разрядными ключами RSA, либо сертификатами, украденными у законных владельцев.
Вредоносный инструментарий Darkhotel состоит из загрузчика вирусов, клавиатурного шпиона, троянца для сбора системной информации, программы для кражи хранимых браузерами паролей и другой конфиденциальной информации и вируса, распространяемого через USB-накопители и общие сетевые каталоги. Эти компоненты распознаются антивирусами под названиями Tapaoux, Pioneer, Karba и Nemim, сообщают в «Лаборатории Касперского».
Свыше 90% заражений, ассоциируемых с группировкой Darkhotel, произошло в Японии, Китае, России, Южной Корее и на Тайване. Инфекции также обнаружены в США, ОАЭ, Сингапуре, Казахстане, на Филиппинах, в Гонконге, Индии, Индонезии, Германии, Ирландии, Мексике, Бельгии, Сербии, Ливане, Пакистане, Греции, Италии и других странах.
Мишенями атак были представители широкого круга отраслей, включая производство электроники, финансы, фармацевтику и др. Жертвами атак также становились военные и работники правоохранительных структур.