Darkhotel: la campagna di spionaggio che si annida negli hotel di lusso

Kaspersky Lab ha scoperto una complessa campagna di spionaggio denominata Darkhotel, attiva da più di 7 anni, e che si annida in molti hotel di lusso asiatici.

Lo cyber-spionaggio è la forma di attacco del XXI secolo. Se al giorno d’oggi, quasi con qualsiasi app mobile, è possibile rubare file segreti ad un utente poco attento, è facile immaginarsi quello che si può ottenere con campagne di sorveglianza mirate, disegnate specificatamente per colpire importanti personalità aziendali e del governo.

Proprio a questo proposito l’autunno ha portato con sé qualche novità: Kaspersky Lab ha scoperto una nuova APT. Si tratta di una “rete-spia” battezzata con il nome di “Darkhotel” che si annidierebbe da diversi anni all’interno della rete wireless di numerosi hotel di lusso asiatici. Questa grande operazione coinvolge spie e professionisti del settore, dando vita ad un sistema che contempla varie metodologie di attacco per penetrare nel computer della vittima.

Le prime menzioni dell’FBI che parlano di questo attacco che colpisce i clienti degli hotel in questione risalgono al 2012. Ciononostante il malware usato nella campagna Darkhotel (conosciuta anche come Tapaoux) è apparso per la prima volta nel 2007. Dopo aver studiato i registri dei server C&C, usati per gestire la campagna, i ricercatori di sicurezza hanno scoperto connessioni risalenti al 1 gennaio del 2009. A quanto pare, quindi, la campagna è attiva da molti anni.


L’attacco si fa strada nei computer delle vittime principalmente attraverso la rete Wi-Fi degli hotel in questione. I cybercrimiali hanno utilizzato degli exploit zero-day presenti in Adobe Flash e altri prodotti popolari appartenente a rinomati vendor. Tali vulnerabilità non sono facili da trovare perciò i casi sono due: o dietro questa operazione ci sono ricchi sponsor che possono permettersi di acquistare costose armi cibernetiche o i criminali coinvolti in questa campagna sono incredibilmente abili. Probabilmente entrambi i casi sono corretti.

Lo spyware, come abbiamo menzionato poco prima, è il metodo il più utilizzato, se non l’unico, per gestire l’operazione. L’alternativa sarebbe ricorrere ad un Trojan e distribuirlo attraverso un client torrent, parte di una cartella compromessa di un fumetto cinese.

Inoltre, le “cyber-spie” hanno usano tecniche di phishing mirato, inviando e-mail compromesse a impiegati statali e organizzazioni non-profit.

I criminali hanno usato un keylogger molto sofisticato. Lo spyware, inoltre, utilizzava un modulo integrato capace di rubare le password salvate dal browser più popolari.

I criminali erano ben consapevoli di quello che facevano e ciò non è solo dimostrato dall’uso delle vulnerabilità zero-days. Sono persino stati in grado di contraffare anche i certificati digitali usati per il loro malware. Per spiare i canali di comunicazione delle proprie vittime, i criminali hanno usato un keylogger molto sofisticato. Lo spyware, inoltre, utilizzava un modulo integrato capace di rubare le password salvate dal browser più popolari.

Curiosamente i criminali sono stati estremamente cauti e hanno messo a punto numerose misure per prevenire il rilevamento del malware. In primo luogo, si sono assicurati che il virus abbia un lungo periodo di incubazione: la prima volta che il Trojan si è connesso ai server C&C è stato 180 giorni dopo essersi infiltrato nei sistemi. In secondo luogo, il programma spyware era dotato di un protocollo di auto-distruzione nel caso la lingua del sistema venisse cambiata al coreano.

I criminali operavano principalmente in Giappone, e in minor misura in Taiwan e Cina. Comunque sia, Kaspersky Lab è riuscito a individuare attacchi anche in altri paesi, tra cui paesi molto lontani da quelli inizialmente legati ai criminali.

Approposito di DarkHotel, Kurt Baumgartner, Principal Security Researcher presso Kaspersky Lab, ha affermato quanto segue: “durante gli ultimi anni, i criminali a capo di Darkhotel hanno portato a compimento con successo un certo numero di attacchi nei confronti di individui di “alto profilo”, utilizzando metodi e tecniche che vanno ben oltre il classico comportamento criminale. Questa minaccia è dotata di competenze operative e di capacità cripto-analitiche e matematiche tali da ingannare reti commerciali di fiducia e di specifiche categorie di vittime con una grande precisione”.

 

I prodotti kaspersky Lab individuano e neutralizzano i programmi malware e le loro varianti usate dall’APT Darkhotel. Per maggiori informazioni su Darkhotel, visitate il sito di Securelist.com.

Consigli