נחשף Darkhotel – קמפיין ריגול נגד בכירי עסקים הממשיך עדין לפעול
מאת:
מערכת Telecom News, 10.11.14, 11:58
.jpg?id=18485575)
"Darkhotel" פגע במנכ"לים, סגני נשיא בכירים, מנהלי מכירות ושיווק ואנשי מחקר ופיתוח מובילים,שהגיעו לפגישות עסקים, בעת שהותם בבתי מלון יוקרתיים. קמפיין הריגול עדיין פעיל. כיצד לחמוק מהמלכודת?
צוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי חושף היום את קמפיין הריגול "
Darkhotel", שפעל בצללים במהלך 4 השנים האחרונות לפחות, כשהוא גונב מידע רגיש מבכירי עסקים בעת נסיעותיהם בעולם. צוות הריגול עדיין פעיל.
"
Darkhotel" פגע בקורבנות בעת שהותם בבתי מלון יוקרתיים. קמפיין הריגול מעולם לא תקף את אותה מטרה פעמיים: הוא ביצע פעולות בדיוק כירורגי, שלף את כל המידע בעל הערך, שניתן היה להשיג בתקשורת הראשונה, ולאחר מכן מחק את עקבות עבודה ונמוג חזרה לצללים עד לביקור של הבכיר החשוב הבא. הקורבנות האחרונים של הקמפיין כללו בכירי עסקים מארה"ב ואסיה - מנכ"לים, סגני נשיא בכירים, מנהלי מכירות ושיווק ואנשי מחקר ופיתוח מובילים, שהגיעו לפגישות עסקים בדרום מזרח אסיה.
כיצד עובדת המתקפה?
מפעיל מתקפת
Darkhotel מתפעל מערך חדירה יעיל על גבי רשת המלון. הוא מחכה עד שהקורבן מתחבר לרשת ה-
WiFi של המלון ומקליד את מספר החדר ואת שם המשפחה בעת הכניסה. התוקפים רואים אותו ברשת הפרוצה ומפתים אותו להוריד ולהתקין "דלת אחורית", שמתחזה לעדכון של תוכנה לגיטימית כגון סרגל כלים של גוגל, אדובי פלאש או מסנג'ר של חלונות. הבכיר, שאינו חושד במאום, מוריד את חבילת "ברוך הבא" של המלון, רק על מנת להדביק את המחשב שלו ב"דלת אחורית", תוכנת הריגול של
Darkhotel.
ברגע שהוחדרה למערכת, ניתן להשתמש בדלת האחורית כדי להוריד כלי גנבת נתונים מתקדמים נוספים: לוכד הקלדות מתקדם, את הסוס הטרויאני Karba ומודול לגניבת מידע. כלים אלה אוספים נתונים אודות המערכת המותקפת ואמצעי האנטי וירוס המותקנים בה, אוספים את כל לחיצות המקשים ומחפשים אחר סיסמאות השמורות בפיירפוקס, כרום, אינטרנט אקספלורר, ג'ימייל, טוויטר, פייסבוק, יאהו וגוגל, וכן מידע אישי נוסף. באופן זה נגנב מהקורבנות מידע אישי רגיש וכנראה גם נכסים בלתי מוחשיים של עסקיהם. לאחר הפעילות, התוקפים מוחקים בזהירות את הכלים שלהם מהרשת של המלון ונעלמים.
קורט באומגרטנר, חוקר אבטחה ראשי במעבדת קספרסקי, "במהלך מספר שנים, שחקן חזק בשם Darkhotel ביצע מספר התקפות מוצלחות נגד בכירים בעלי פרופיל גבוה, כשהוא מפעיל שיטות וטכניקות מתקדמות בהרבה מאלה של עברייני הרשת הנפוצים. שחקן זה הוא בעל יכולת תפעולית, יכולות תקיפה מתמטיות וקריפטו-אנליטיות ומשאבים נוספים המאפשרים ניצול של רשתות מסחריות אמינות ותקיפה של מטרות נקודתיות עם דיוק אסטרטגי.
השילוב בין התקפות ממוקדות והתקפות ללא הבחנה הופך להיות נפוץ יותר ויותר בגזרת הריגול המקוון. משתמשים בהתקפות ממוקדות כדי לסכן קורבנות פרופיל גבוה, בעוד פעילות בסגנון בוטנט משמשת למטרות ריגול המוני ולביצוע משימות אחרות, כגון DDoSing על קבוצות עוינות או פשוט שדרוג של קורבנות מעניינים באמצעות כלי ריגול מתוחכמים יותר".
כיצד לחמוק ממלכודת ה-Darkhotel
כאשר נמצאים בנסיעות מוטב להתייחס לכל רשת ציבורית כגורם סיכון. מקרה ה-Darkhotel מדגים את ערוצי התקיפה המתפתחים: אדם יחיד המחזיק במידע רב ערך יכול ליפול בקלות כקורבן ל- Darkhotel עצמה או להתקפות דומות ל-Darkhotel. כדי למנוע זאת, מומלצים האמצעים הבאים:
- בחירת ספק VPN – באמצעותו מקבלים ערוץ תקשורת מאובטח בעת גישה לרשתות ציבוריות וחצי ציבוריות.
- בזמן נסיעות, תמיד להתייחס לעדכוני תוכנה בחשד ולוודא שהעדכון המוצע חתום ע"י הספק המתאים.
- לוודא שפתרון אבטחת האינטרנט כולל הגנה אקטיבית כנגד איומים חדשים ולא רק הגנת אנטי וירוס בסיסית.
