קספרסקי חשפה "קמפיין ריגול" נגד אנשי עסקים בכירים

צוות המחקר והניתוח של מעבדת קספרסקי (Kaspersky) חשף היום (ב') קמפיין ריגול שגונב מידע רגיש מאנשי עסקים בכירים כשהם שוהים בבתי מלון יוקרתיים בדרום מזרח אסיה. מענקית אבטחת המידע נמסר כי הקמפיין, שעונה לשם Darkhotel, פועל בצללים מזה לפחות ארבע שנים.

בקספרסקי ציינו כי Darkhotel מעולם לא תקף את אותה מטרה פעמיים: הוא ביצע פעולות בדיוק כירורגי, שלף את כל המידע בעל הערך שניתן היה להשיג בתקשורת הראשונה ולאחר מכן מחק את עקבות העבודה ונמוג חזרה לצללים. זאת, עד לביקור של הבכיר הבא.

הקורבנות האחרונים של הקמפיין כללו אנשי עסקים בכירים מארצות הברית ומאסיה, בהם מנכ"לים, סגני נשיא, מנהלי מכירות ושיווק ואנשי מחקר ופיתוח מובילים, שהגיעו לפגישות עסקים בדרום מזרח אסיה. במעבדת קספרסקי מתריעים כי התוקף עדיין פעיל וכי הוא דובר קוריאנית.

בענקית אבטחת המידע תיארו את אופן הפעולה של התוקף כך: הוא מתפעל מערך חדירה יעיל על גבי רשת המלון, מחכה עד שהקורבן מתחבר לרשת ה-Wi-Fi של המלון וכשהוא נכנס אליה, מקליד את מספר החדר ואת שם המשפחה. התוקף רואה את הקורבן ברשת הפרוצה ומפתה אותו להוריד ולהתקין דלת אחורית, שמתחזה לעדכון של תוכנה לגיטימית, כגון סרגל כלים של גוגל (Google), פלאש (Flash) או מסנג'ר (Messenger). איש העסקים, שאינו חושד במאום, מוריד את חבילת "ברוך הבא" של המלון וכך מדביק את המחשב שלו באותה דלת אחורית, היא תוכנת הריגול של Darkhotel.

ברגע שהוחדרה למערכת, ניתן להשתמש בדלת האחורית כדי להוריד כלי גניבת נתונים מתקדמים נוספים: לוכד הקלדות מתקדם, הסוס הטרויאני Karba ומודול לגניבת מידע. כלים אלה אוספים נתונים אודות המערכת המותקפת ואמצעי האנטי וירוס המותקנים בה, אוספים את כל לחיצות המקשים ומחפשים אחר מידע אישי נוסף, וכן סיסמאות ששמורות בדפדפנים, שירותי דואר ורשתות חברתיות. באופן זה נגנב מהקורבנות מידע אישי רגיש, וכנראה גם נכסים לא מוחשיים של עסקיהם. לאחר הפעילות, התוקפים מוחקים בזהירות את הכלים שלהם מהרשת של המלון ונעלמים.

לדברי קורט באומגרטנר, חוקר אבטחה ראשי במעבדת קספרסקי, "במהלך מספר שנים, שחקן חזק בשם Darkhotel ביצע מספר התקפות מוצלחות נגד בכירים בעלי פרופיל גבוה, כשהוא מפעיל שיטות וטכניקות מתקדמות בהרבה מאלה של עברייני הרשת הנפוצים. שחקן זה הוא בעל יכולת תפעולית, יכולות תקיפה מתמטיות וקריפטו-אנליטיות, כמו גם משאבים נוספים המאפשרים ניצול של רשתות מסחריות אמינות, ותקיפה של מטרות נקודתיות עם דיוק אסטרטגי".

"השילוב בין התקפות ממוקדות והתקפות ללא הבחנה הופך להיות נפוץ יותר ויותר בגזרת הריגול המקוון. משתמשים בהתקפות ממוקדות כדי לסכן קורבנות פרופיל גבוה, בעוד פעילות בסגנון בוטנט משמשת למטרות ריגול המוני ולביצוע משימות אחרות, כגון DDoSing על קבוצות עוינות או פשוט שדרוג של קורבנות מעניינים באמצעות כלי ריגול מתוחכמים יותר", הוסיף.

כדי לחמוק מהמלכודת ממליצים בקספרסקי להתייחס לכל רשת ציבורית כגורם סיכון, כשנמצאים בנסיעות; לבחור ספק VPN, באמצעותו ניתן לקבל ערוץ תקשורת מאובטח בעת גישה לרשתות ציבוריות וחצי ציבוריות; להתייחס בזמן נסיעות לעדכוני תוכנה בחשד ולוודא כי העדכון המוצע חתום על ידי הספק המתאים; ולוודא שפתרון אבטחת האינטרנט כולל הגנה אקטיבית נגד איומים חדשים.