DEFINIZIONE DEL VIRUS
Tipo di virus: malware, advanced persistent threat (APT)
Cos'è la minaccia Darkhotel?
Il Team Ricerca Globale e Analisi di Kaspersky Lab ha analizzato il più recente virus informatico, denominato "Darkhotel". La minaccia Darkhotel sembra essere una combinazione tra lo spear phishing e un pericoloso malware progettato per acquisire informazioni riservate.
I cybercriminali che si nascondono dietro Darkhotel sono attivi da quasi un decennio e hanno preso di mira migliaia di vittime in tutto il mondo. Il 90% delle infezioni Darkhotel si è verificata in Giappone, Taiwan, Cina, Russia e Corea, ma ve ne sono state alcune anche in Germania, Stati Uniti, Indonesia, India e Irlanda.
Dettagli sul pericolo del virus
Come funziona la minaccia Darkhotel?
Si tratta di una campagna insolita, poiché si serve di diverse modalità di obiettivi nocivi.
(1) Spear Phishing
Da un lato utilizza e-mail di spear phishing per infiltrarsi nelle basi industriali per la difesa (DIB), nei governi, nelle ONG, nei grandi produttori di elettronica e periferiche, nelle aziende farmaceutiche, nel personale medico, nelle organizzazioni militari e nei nuclei responsabili della politica energetica. Questi attacchi seguono il procedimento dello spear phishing tipico, attraverso impianti Darkhotel scrupolosamente mascherati. Tra i contenuti più utilizzati in queste e-mail troviamo spesso argomenti quali energia nucleare e armamenti. Negli ultimi anni, le e-mail di spare phishing contenevano in allegato exploit zero day di Adobe oppure link che reindirizzavano i browser delle vittime a exploit zero day di Internet Explorer. Il loro obiettivo è quello di rubare i dati di queste organizzazioni.
(2) Distribuzione del Malware
Dall'altro lato, gli hacker diffondono il malware indiscriminatamente attraverso siti di condivisione di file P2P (peer-to-peer) giapponesi. Il malware viene distribuito come parte di un ampio archivio RAR, il quale finge di offrire contenuti sessuali, ma che invece installa un Trojan backdoor che raccoglie le informazioni riservate della vittima.
(3) Infezioni
Utilizzando un approccio che si pone a metà strada tra i due sopra descritti, gli hacker attaccano dirigenti ignari che viaggiano oltreoceano e soggiornano in un hotel. Qui le vittime vengono infettate da un raro Trojan, il quale si finge in apparenza uno dei software più importanti in distribuzione, tra cui Google Toolbar, Adobe Flash e Windows Messenger. In una prima fase l'infezione viene utilizzata per valutare le vittime e scaricare un ulteriore malware sui computer di vittime ancor più importanti, progettato per rubare informazioni riservate.
Sulla base di una stringa interna al codice nocivo, sembra che questa minaccia provenga da un hacker coreano, da cui l'infezione ha avuto origine.
Qual è la rilevanza di Darkhotel?
Nonostante le tecniche sofisticate utilizzate negli attacchi mirati, gli hacker cominciano con l'indurre singoli lavoratori ad assumere comportamenti per mettere in pericolo la sicurezza aziendale. Chi lavora a contatto con il pubblico (alti dirigenti, personale di vendita e marketing) è particolarmente vulnerabile, perché si tratta di categorie spesso in viaggio, dunque soggette all'utilizzo di reti inaffidabili (per esempio, quelle degli hotel) per permettere la connessione a una rete aziendale.
Caratteristiche della campagna Darkhotel
- Gli attacchi mirati si concentrano su vittime di alto livello: AD, vicepresidenti, responsabili di vendita e marketing e personale R&S d'alto livello.
- Questa gang di criminali è attiva sia attraverso gli attacchi mirati sia attraverso operazioni che utilizzano le botnet. Dapprima compromettono le reti degli alberghi, poi organizzano gli attacchi prendendo di mira vittime di alto profilo. Allo stesso tempo, agiscono attraverso operazioni che utilizzano le botnet per una sorveglianza su larga scala o per svolgere compiti di altro tipo, per esempio sferrare un attacco DDoS (Distributed Denial of Service) o installare strumenti di spionaggio più sofisticati sui computer di vittime particolarmente interessanti.
- Utilizzo di exploit zero day che prendono di mira prodotti Internet Explorer e Adobe.
- Utilizzo di un keylogger avanzato e di basso profilo per il furto di informazioni riservate.
- Utilizzo di un codice dannoso firmato attraverso certificati digitali rubati.
- Campagne persistenti: Darkhotel è infatti attiva da quasi un decennio.
Come prevenire un attacco Darkhotel?
Sebbene una protezione totale sia alquanto difficoltosa, di seguito sono riportati alcuni suggerimenti su come proteggersi mentre si è in viaggio.
- Se si vuole accedere a una rete Wi-Fi pubblica o semipubblica è necessario utilizzare solo tunnel VPN affidabili
- Scoprire e imparare come funzionano gli attacchi di spear phishing
- Eseguire la manutenzione e gli aggiornamenti di tutti i software di sistema
- Verificare sempre i file eseguibili e usare cautela nell'utilizzo di file condivisi su reti P2P
- Limitare gli aggiornamenti del software quando si è in viaggio
- Installare un software di qualità per la protezione su Internet che includa una tecnologia di protezione proattiva in grado di difendere dalle nuove minacce e che non offra solamente una protezione antivirus di base.