Foto: Rainer Sturm/Pixelio

Kaspersky

Warnung vor Spionageangriffen über Hotel-WLANs

Kaspersky Lab hat vor Kurzem die Spionagekampagne „Darkhotel“ enttarnt, bei der seit mindestens vier Jahren gezielt sensible Daten von geschäftlich reisenden Führungskräften gestohlen wurden.

Darkhotel zielt auf Gäste von Luxus-Hotels ab. Die Hintermänner gehen hierbei äußerst präzise vor. Bei einem einmaligen Zugriff über das WLAN des kompromittierten Hotels werden alle wertvollen Daten eingesammelt. Anschließend löschen die Angreifer alle Spuren, ziehen sich zurück und warten auf das nächste hochrangige Opfer.

Der Fokus der Darkhotel-Attacken liegt auf reisenden Topmanagern aus den USA und Asien, die geschäftlich im asiatisch-pazifischen Raum unterwegs sind – beispielsweise CEOs, hochrangige Manager, Vertriebs- und Marketingleiter sowie Führungskräfte aus dem Bereich Forschung und Entwicklung. Neben dem Ausspähen von Hotelgästen setzt die Darkhotel-Gruppe auch auf Spear-Phishing- und Filesharing-Server-Attacken, bei denen auch deutsche Opfer betroffen waren. Die Kampagne ist nach wie vor aktiv.

Übers Hotel-Netzwerk

Die Darkhotel-Hintermänner verfügen über eine Reihe effektiver Eingriffsmöglichkeiten in Hotel-Netzwerke, mit denen sie über die Jahre umfangreichen Zugang auch zu privat oder sicher geglaubten Systemen hatten. Wenn sich ein Opfer nach dem Hotel-Check-in mit dem Hotel-WLAN verbindet und seine Zimmernummer sowie seinen Nachnamen in die Login-Maske eingibt, werden die Angreifer des kompromittierten drahtlosen Netzwerks aktiv.

Sie verleiten das anvisierte Opfer dazu, ein Backdoor-Programm herunterzuladen und zu installieren, das sich als Update für eine Standardsoftware wie Google Toolbar, Adobe Flash oder Windows Messenger ausgibt. Tatsächlich infiziert der ahnungslose Manager seinen eigenen Rechner mit der Darkhotel-Spionagesoftware.

Ist das Backdoor-Programm auf einem System installiert, können damit weitere fortschrittliche Diebstahl-Werkzeuge auf den infizierten Rechner geladen werden, dazu zählen ein hochentwickelter digital signierter Keylogger, der Trojaner „Karba“ sowie ein Informationen stehlendes Modul. Diese Tools sammeln Daten über das System und die darauf installierte Antivirensoftware, lesen alle Tastaturanschläge mit und suchen nach in Firefox, Chrome sowie im Internet Explorer gespeicherten Passwörtern; ebenso wie nach Zugangsdaten für Gmail Notifier, Twitter, Facebook, Yahoo! und Google sowie weiteren privaten Daten.

Die Folge: Der Abfluss sensibler Informationen wie das geistige Eigentum der vom Opfer repräsentierten Geschäftseinheit. Nach der Operation „reinigen“ die Angreifer das Hotelnetzwerk sorgfältig von ihren Werkzeugen und verbergen sich wieder im Hintergrund.

In den vergangenen Jahren hätte eine Gruppe namens Darkhotel zahlreiche erfolgreiche Attacken gegen hochrangige Einzelpersonen durchführen können, so Kurt Baumgartner, Principal Security Researcher bei Kaspersky Lab. Dabei seien Methoden und Techniken zum Einsatz gekommen, die weit über das Repertoire klassischer Cyberkrimineller hinausgingen.

Die Hintermänner von Darkhotel besäßen nicht nur operative Kompetenz, sondern auch mathematische und kryptografische Kenntnisse sowie weitere Ressourcen, mit denen sie kommerzielle Netzwerke missbrauchen und bestimmte Opfer mit strategischer Präzision angreifen könnten.

Kombination zielgerichteter und wahlloser Angriffe

Die Darkhotel-Kampagne scheint inkonsistent zu sein: Zum einen wird Schadsoftware willkürlich verbreitet und zum anderen werden hochrangige Personen direkt attackiert. Die Kombination zielgerichteter und wahlloser Angriffe wird in der APT-Szene zunehmend üblich. Zielgerichtete Attacken werden eingesetzt, um hochprofilierte Opfer zu kompromittieren. Operationen im Botnet-Stil dienen der Massenüberwachung oder führen Aufgaben wie DDoS-Angriffe auf gegnerische Parteien aus.

Neben der Cyberspionagekampagne auf hochrangige Geschäftsreisende in Luxus-Hotels führen die Darkhotel-Akteure auch gezielte Spear-Phishing-Angriffe via E-Mail sowie Infektionen über Peer-to-Peer-Netzwerke durch. Die Experten von Kaspersky Lab identifizierten hierbei Opfer aus der ganzen Welt, darunter auch aus Deutschland.

Weitere Erkenntnisse

Spuren eines Strings innerhalb des von den Angreifern genutzten schädlichen Codes deuten auf koreanisch-sprachige Täter hin. Die Lösungen von Kaspersky Lab erkennen und neutralisieren das schädliche Darkhotel-Programm sowie alle Varianten. Kaspersky Lab arbeitet derzeit mit relevanten Organisationen zusammen, um das Problem zu entschärfen.

Geschäftsreisende sollten grundsätzlich jedem Netzwerk misstrauen, auch halbprivaten in Hotels. Der Darkhotel-Fall steht beispielhaft für eine aufkommende Angriffsart. Einzelpersonen, die im Besitz wertvoller Informationen sind, können zum Opfer der Darkhotel-Kampagne (weil noch aktiv) oder von ähnlichen Angriffen werden.

Folgende Vorsichtsmaßnahmen sind daher angeraten:

  • Beim Zugang von öffentlichen oder halböffentlichen WLANs ermöglichen VPNs (Virtual Private Networks) einen verschlüsselten Kommunikationskanal.
  • Gerade auf Reisen sollte man Software-Updates gegenüber skeptisch sein. Nutzer sollten daher immer darauf achten, dass der angebotene Update Installer von einem offiziellen Anbieter signiert ist.
  • Eine Internetsicherheitslösung mit proaktiven Schutztechnologien schützt besser vor neu aufkommenden Gefahren als ein reiner Antivirenschutz.
Foto: Kaspersky Lab ZAO/ securelist.com

Operation Roter Oktober

Cyberspionage-Angriffe auf Regierungen

Kaspersky Lab hat Details über eine Cyberspionage-Kampagne veröffentlicht, die sich seit mindestens fünf Jahren gegen diplomatische Einrichtungen, Regierungsorganisationen und Forschungsinstitute in verschiedenen Ländern richtet.

Foto: Kaspersky Lab

Cybergang „Carbanak“

Finanzinstitute weltweit bestohlen

Interpol, Europol und Kaspersky Lab haben gemeinsam die Geschichte eines beispiellosen Cyber-Bankraubs aufgedeckt. Durch „Carbanak“ wurde bis zu eine Milliarde US-Dollar innerhalb von zwei Jahren von Finanzinstituten weltweit gestohlen.

Foto: I-vista/Pixelio

Risiken für Geschäftsreisende

Lieblinge der Spione

Das Lagebild lässt sich kurz und knapp zusammenfassen: Mitarbeiter, die geschäftlich auf Auslandsreisen gehen, sind erklärte Lieblinge der Wirtschafts- und Konkurrenzspione. Der Grund: Geschäftsreisende haben auch im Ausland dank moderner Kommunikationstechnik viele sensible Daten und Zugangscodes dabei. Es ist deshalb alles andere als unrealistisch, fern der Heimat mit ganz speziellen Damen und Herren und deren technischen Equipments in Kontakt zu kommen.

Foto: Trend Micro

Angriff auf „TV5Monde“

Cyberkrieg oder Propagandaschlacht?

Wer die Bedeutung eines „ganz normalen“ zielgerichteten Angriffs überhöht, spielt das Spiel des Angreifers – ein Kommentar von Sicherheitsexperte Udo Schneider, Pressesprecher des japanischen IT-Sicherheitsanbieters Trend Micro.