malware - ilustracja

Hakerzy z Rosji atakują gości w hotelach

Rosyjska grupa hakerska znana pod nazwą APT28 szpieguje gości za pośrednictwem hotelowych łączy Wi-Fi, infekuje także ich komputery za pomocą wykradzionych z NSA narzędzi, użytych także podczas niedawnego ataku ransomware Petya/Not Petya.

Informacje o zagrożeniu opublikowała na swoim oficjalnym blogu firma FireEye specjalizująca się w cyberbezpieczeństwie. CHIP od dawna powtarza, że publiczne czy hotelowe sieci Wi-Fi wymagają ograniczonego zaufania podczas korzystania z nich (i radzi, jak korzystać z nich bezpiecznie), ale atak opisywany w udostępnionym dokumencie jest znacznie bardziej wyrafinowany od prostego nasłuchu pakietów w hotelowej sieci bezprzewodowej.

Hakerzy z grupy APT28 najpierw przeprowadzili w lipcu br. phishingowy atak na branżę hotelarską. Spreparowany mailing zawierający zainfekowany dokument Worda symulujący formularz rezerwacji trafił do hoteli w co najmniej siedmiu krajach Europy, a także do placówek hotelarskich na Bliskim Wschodzie. Uruchomienie załącznika – dokumentu Worda – powoduje rozruch makropolecenia zawierające ukryty złośliwy kod.

Hakerzy spreparowali dokument Worda
Tak prezentuje się zainfekowany dokument Worda z fałszywym formularzem rezerwacji i „zaszytym” złośliwym kodem pozwalającym na kontynuowanie ataku w ramach sieci hotelowej. (fot. FireEye)

Malware „zaszyty” w fałszywym dokumencie rezerwacyjnym infiltruje wewnętrzną sieć hotelową i robi to na tyle skutecznie, że cyberprzestępcy mają kontrolę zarówno nad bezprzewodową siecią dla gości, jak i siecią wewnętrzną danego hotelu. Po przejęciu kontroli nad maszyną w wewnętrznej sieci hotelu hakerzy używają  narzędzia o nazwie Responder w celu przejęcia kontroli nad innymi jednostkami danej sieci, a także w celu wykradzenia danych uwierzytelniających z komputerów gości. W celu rozprzestrzenienia się po sieci hotelowej APT28 wykorzystali wersję wykradzionego z NSA exploita EternalBlue SMB – tego samego, który był użyty do przeprowadzenia ataku ransomware Petya / Not Petya.

Oznacza to, że APT28 stosuje najprawdopodobniej nowy wektor infekcji, niewykorzystywany wcześniej przez cyberprzestępców próbujących wykradać poufne dane gości hotelowych. Specjaliści z FireEye kończą swój wpis ostrzeżeniem skierowanym do podróżnych. Powinni oni być świadomi potencjalnych zagrożeń i podjąć dodatkowe środki ostrożności w celu zabezpieczenia ich systemów i danych. Najlepiej w ogóle nie korzystać z publicznych sieci Wi-Fi, które stanowią poważne zagrożenie. | CHIP

Źródła: Blog FireEye, https://www.fireeye.com/blog/threat-research/2017/08/apt28-targets-hospitality-sector.html