Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/11/2014
Darkhotel, ciberespionatge a hostes d’hotel d’alt nivell
Karspersky Lab ha publicat un informe sobre una amenaça persistent avançada (APT) anomenada Darkhotel, que portaria activa des de 2007 i s’hauria dedicat a obtindre informació privilegiada d’executius i empleats d’alt nivell allotjats en hotels d’alta categoria.
Karspersky Lab ha publicat un informe sobre una amenaza persistent avançada (APT) anomenada Darkhotel, que portaria activa des de 2007 i s’hauria dedicat a obtindre informació privilegiada d’executius i empleats d’alt nivell allotjats en hotels d’alta categoria.
Esta amenaça opera llançant atacs precisos dirigits amb exploits avançats Flash per a vulnerabilitats de dia zero, que evadixen així les últimes defenses de Windows i Adobe. Però també es propaguen de forma imprecisa i massiva cap a objectius indefinits amb tàctiques de difusió peer-to-peer.
Una de les característiques més úniques i inusuals d’este grup és que durant diversos anys ha sigut capaç de seguir i atacar blancs en moviment per mitjà de les xarxes d’hotels que servixen els viatgers internacionals. Estos viatgers solen ser executius d’alt rang de diverses indústries que fan negocis i subcontractes amb la regió d’Àsia i el Pacífic, amb la inclusió de directors executius, vicepresidents, directors de vendes, encarregats d’investigació i desenrotllament, entre altres.
Esta intrusió a la xarxa de l’hotel ajuda els atacants a aconseguir un accés global a sistemes molt valuosos. Quan els analistes de Kaspersky van visitar els hotels on van tindre lloc incidents de Darkhotel, van intentar tendir una trampa honeypot, no van aconseguir atraure cap atac, la qual cosa indica que els atacants tenen un coneixement molt selectiu i actuen d’acord amb això. Estudis posteriors van demostrar com de cuidadosos són els atacants per a amagar les seues activitats: tan prompte com van infectar un blanc, van eliminar les seues ferramentes de la vista de la xarxa de l’hotel per a mantindre’s ocults.
L’activitat i els objectes de Darkhotel han eixit a flotació per parts durant els últims anys, però hem identificat ferramentes Darkhotel que daten de 2007. Considerant les seues tècniques riques en recursos, els seus mètodes avançats d’explotació i la seua àmplia infraestructura dinàmica, els investigadors de Karspersky Lab creuen que veuran més activitats de Darkhotel durant els pròxims anys.