קמפיין ריגול נגד אנשי עסקים

מעבדת קספרסקי חושף היום את קמפיין הריגול "Darkhotel", אשר פעל בצללים במהלך 4 השנים האחרונות לפחות, כשהוא גונב מידע רגיש מבכירי עסקים בעת נסיעותיהם בעולם

צוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי חושף היום את קמפיין הריגול "Darkhotel", אשר פעל בצללים במהלך 4 השנים האחרונות לפחות, כשהוא גונב מידע רגיש מבכירי עסקים בעת נסיעותיהם בעולם. "Darkhotel" פגע בקורבנות בעת שהותם בבתי מלון יוקרתיים. קמפיין הריגול מעולם לא תקף את אותה מטרה פעמיים: הוא ביצע פעולות בדיוק כירורגי, שלף את כל המידע בעל הערך שניתן היה להשיג בתקשורת הראשונה, ולאחר מכן מחק את עקבות עבודה ונמוג חזרה לצללים - עד לביקור של הבכיר החשוב הבא.

הקורבנות האחרונים של הקמפיין כללו בכירי עסקים מארה"ב ואסיה - מנכ"לים, סגני נשיא בכירים, מנהלי מכירות ושיווק ואנשי מחקר ופיתוח מובילים - אשר הגיעו לפגישות עסקים בדרום מזרח אסיה. במעבדת קספרסקי מתריעים: צוות הריגול עדיין פעיל!

כיצד עובדת המתקפה?

מפעיל מתקפת Darkhotel מתפעל מערך חדירה יעיל על גבי רשת המלון, הוא מחכה עד אשר הקורבן מתחבר לרשת ה- Wi-Fi של המלון ומקליד את מספר החדר ואת שם המשפחה בעת הכניסה. התוקפים רואים אותו ברשת הפרוצה ומפתים אותו להוריד ולהתקין "דלת אחורית" אשר מתחזה לעדכון של תוכנה לגיטימית – כגון סרגל כלים של גוגל, אדובי פלאש או מסנג'ר של חלונות. הבכיר שאינו חושד במאום מוריד את חבילת "ברוך הבא" של המלון, רק על מנת להדביק את המחשב שלו ב"דלת אחורית", תוכנת הריגול של Darkhotel.

ברגע שהוחדרה למערכת, ניתן להשתמש בדלת האחורית כדי להוריד כלי גניבת נתונים מתקדמים נוספים: לוכד הקלדות מתקדם, את הסוס הטרויאני Karba ומודול לגניבת מידע. כלים אלה אוספים נתונים אודות המערכת המותקפת ואמצעי האנטי וירוס המותקנים בה, אוספים את כל לחיצות המקשים, ומחפשים אחר סיסמאות השמורות בפיירפוקס, כרום, אינטרנט אקספלורר, ג'ימייל, טוויטר, פייסבוק, יאהו וגוגל, וכן מידע אישי נוסף. באופן זה נגנב מהקורבנות מידע אישי רגיש – וכנראה גם נכסים בלתי מוחשיים של עיסקיהם. לאחר הפעילות, התוקפים מוחקים בזהירות את הכלים שלהם מהרשת של המלון ונעלמים.

לדברי קורט באומגרטנר, חוקר אבטחה ראשי במעבדת קספרסקי, "במהלך מספר שנים, שחקן חזק בשם Darkhotel ביצע מספר התקפות מוצלחות נגד בכירים בעלי פרופיל גבוה, כשהוא מפעיל שיטות וטכניקות מתקדמות בהרבה מאלה של עברייני הרשת הנפוצים. שחקן זה הוא בעל יכולת תפעולית, יכולות תקיפה מתמטיות וקריפטו-אנליטיות, ומשאבים נוספים המאפשרים ניצול של רשתות מסחריות אמינות, ותקיפה של מטרות נקודתיות עם דיוק אסטרטגי.

"השילוב בין התקפות ממוקדות והתקפות ללא הבחנה הופך להיות נפוץ יותר ויותר בגזרת הריגול המקוון. משתמשים בהתקפות ממוקדות כדי לסכן קורבנות פרופיל גבוה, בעוד פעילות בסגנון בוטנט משמשת למטרות ריגול המוני ולביצוע משימות אחרות, כגון DDoSing על קבוצות עוינות או פשוט שדרוג של קורבנות מעניינים באמצעות כלי ריגול מתוחכמים יותר", הוסיף קורט באומגרטנר.

כיצד לחמוק ממלכודת ה-Darkhotel

כאשר נמצאים בנסיעות, מוטב להתייחס לכל רשת ציבורית כגורם סיכון. מקרה ה- Darkhotel מדגים את ערוצי התקיפה המתפתחים: אדם יחיד המחזיק במידע רב ערך יכול ליפול בקלות כקורבן ל- Darkhotel עצמה, או להתקפות דומות ל- Darkhotel. כדי למנוע זאת, מעבדת קספרסקי ממליצה על האמצעים הבאים:

· בחירת ספק VPN – באמצעותו תקבלו ערוץ תקשורת מאובטח בעת גישה לרשתות ציבוריות וחצי ציבוריות

· בזמן נסיעות, תמיד תתייחס לעדכוני תוכנה בחשד. וודא כי העדכון המוצע חתום על ידי הספק המתאים.

· וודא כי פתרון האבטחת האינטרנט שלך כולל הגנה אקטיבית כנגד איומים חדשים ולא רק הגנת אנטי וירוס בסיסית.

לקריאת הדו"ח המלא אודות Darkhotel, בקרו ב- Securelist.