Kaspersky Darkhotel: gli alberghi ti rubano le password

Gli esperti del Global Research and Analysis Team di Kaspersky Lab hanno studiato la campagna di spionaggio Darkhotel, che negli ultimi quattro anni ha vissuto nell’ombra rubando i dati sensibili di selezionati dirigenti d’azienda in viaggio all’estero

La banda criminale non ha mai colpito due volte lo stesso bersaglio ed esegue le proprie operazioni con precisione chirurgica, ottenendo tutte le informazioni di valore al primo contatto, nascondendo poi le tracce del proprio passaggio e rimanendo celata in attesa della vittima successiva. I bersagli più recenti includono uomini d’affari provenienti dagli Stati Uniti e dall’Asia che operano e investono nella regione APAC: sono stati colpiti CEO, senior vice president, sales and martketing director e i vertici esecutivi dei reparti di R&S. Chi sarà il prossimo? Kaspersky Lab avverte che il gruppo criminale è ancora attivo.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Come agiscono i criminali

I criminali che si celano dietro a Darkhotel hanno stabilito un’efficace intromissione nella rete dell’hotel, che, negli anni, ha permesso di accedere anche a sistemi che si pensava fossero privati e sicuri. La modalità con cui opera questo gruppo criminale è quella di attendere che, una volta effettuato il check-in, la vittima effettui il log-in alla rete Wi-Fi dell’hotel inserendo numero di stanza e cognome. Una volta che il malcapitato si ritrova all’interno della rete compromessa viene invitato a scaricare e installare una backdoor presentata come aggiornamento di un software legittimo – Google Toolbar, Adobe Flash o Windows Messenger. L’ignaro uomo d’affari scarica questo “pacchetto di benvenuto” dell’hotel che ha come unico risultato quello di infettare il proprio dispositivo con una backdoor, il software di spionaggio di Darkhotel.

Leggi anche:  World Backup Day, se un backup non basta più

Una volta nel sistema, la backdoor può essere utilizzata per scaricare tool più avanzati: un keylogger avanzato digitally-signed, il Trojan “Karba” e un modulo per il furto d’informazioni. Questi tool raccolgono informazioni sul sistema e sul software anti-malware su esso installato, memorizzano i tasti digitati e cercano le password dei browser Firefox, Chrome e Internet Explorer memorizzate nella cache; le credenziali per il login a Gmail Notifier, Twitter, Facebook, Yahoo! e Google; e altre informazioni riservate. Alle vittime vengono così sottratte informazioni sensibili, tra cui probabilmente i diritti di proprietà intellettuale delle aziende che rappresentano. Dopo l’operazione, i criminali eliminano con cura i tool dalla rete dell’hotel e ritornano nell’ombra.

“Negli ultimi anni, i criminali che si celano dietro a Darkotel hanno portato a termine con successo numerosi attacchi diretti a individui di alto profilo, utilizzando metodi e tecniche nettamente superiori rispetto al tipico comportamento del comune cyber criminale. Questo gruppo ha dimostrato di possedere competenze operative, capacità matematiche e crittanalitiche altamente offensive e di disporre di altre risorse, che consentono loro di sfruttare network commerciali affidabili e prendere di mira, con precisione strategica, specifiche categorie di vittime.” ha commentato Kurt Baumgartner, Principal Security Researcher at Kaspersky Lab.

Tuttavia, l’attività dannosa di Darkhotel può essere imprevedibile: oltre ai suoi attacchi altamente mirati abbiamo rilevato una diffusione indiscriminata di malware. È possibile trovare ulteriori informazioni sui delivery vector del malware a questo link.

Kurt Baumgartner ha aggiunto: “Il mix di attacchi sia mirati che indiscriminati sta diventando sempre più comune sulla scena APT, in cui gli attacchi mirano a vittime di alto profilo mentre le operazioni in stile botnet hanno come obiettivo la sorveglianza di massa o l’utilizzo degli attacchi DDoS per colpire le parti ostili o semplicemente selezionare vittime interessanti da sottoporre a metodi di spionaggio più sofisticati”.

Leggi anche:  Il passaporto italiano è il secondo documento più falsificato al mondo

Come non cadere negli inganni di Darkhotel

Durante i viaggi, dovrebbero essere considerate come potenzialmente pericolose tutte le reti, anche quelle semi-private degli hotel. Il caso di Darkhotel dimostra che si tratta di un vettore di minaccia ancora attivo e in continua evoluzione, per cui gli individui in possesso di informazioni di valore possono facilmente diventare vittime di Darkhotel o di attacchi simili. Per prevenire questo rischio, Kaspersky Lab raccomanda di seguire i seguenti suggerimenti:

• Utilizzare un provider VPN (Virtual Private Network), che garantisce un canale di comunicazione criptato quando ci si connette a Wi-Fi pubblici o semi-pubblici.

• In viaggio, considerare sempre sospetti gli aggiornamenti software. Assicurarsi che il programma d’installazione sia firmato dal vendor appropriato.

• Accertarsi che la soluzione di sicurezza Internet includa la difesa proattiva contro nuove minacce, invece che una semplice protezione antivirus di base.

• Per leggere ulteriori informazioni sui consigli per la privacy, visitare cybersmart.kaspersky.com/privacy