FireEye, azienda di Intelligence Led Security, questa estate ha rilevato una campagna malevola che ha avuto come obiettivo il settore dell’Hospitality.
L’azienda americana di security ritiene che questa campagna possa essere attribuita all’attore russo APT28, avendo rilevato, dopo opportune verifiche, che essa risale almeno a luglio 2017 ed è stata attuata per essere rivolta ai viaggiatori degli hotel di tutta Europa e del Medio Oriente. Il Gruppo ha utilizzato diverse notevoli tecniche di rilievo in questi incidenti, come ad esempio “fiutare” le password dal traffico Wi-Fi, deviare il traffico NetBIOS Name Service e spostarsi lateralmente in rete utilizzando l’exploit EternalBlue.
FireEye, a seguito delle sue indagini, ha scoperto un documento dannoso di spear phishing che è stato inviato nella posta elettronica di molte aziende del settore hospitality, compresi hotel in almeno sette paesi europei e uno del Medio Oriente all’inizio di luglio. L’esecuzione riuscita della macro presente all’interno del documento infetto avrebbe comportato l’installazione del malware GAMEFISH firmato dal gruppo APT28.
APT28 sta continuamente evolvendo le tecniche basate su exploit EternalBlue e sullo strumento opensource Responder per muoversi lateralmente attraverso le reti e colpire i viaggiatori. Una volta compromessa la rete di una società alberghiera, il Gruppo APT28 ha cercato macchine che controllavano sia le reti Wi-Fi interne che quelle degli ospiti. Negli alberghi che sono stati compromessi non sono state rubate le credenziali degli ospiti; tuttavia, in un separato incidente che si è verificato nell’autunno 2016, APT28 ha ottenuto l’accesso iniziale alla rete di una vittima tramite credenziali probabilmente rubate da una rete Wi-Fi di un hotel.
Una volta ottenuto l’accesso ai computer connessi alle reti Wi-Fi aziendali e degli ospiti, APT28 ha diffuso Responder, uno strumento per il poisoning del servizio NetBIOS Name Service. Questa tecnica si basa sull’ascolto dell’attività di broadcast NBT-NS (UDP/137) dai computer delle vittime che tentano di connettersi alle risorse di rete.
Ricevuta la trasmissione, Responder impersona la risorsa cercata e spinge il computer della vittima ad inviare il nome utente e la password alla macchina controllata dall’attaccante.
APT28 ha utilizzato tale tecnica per carpire nome utente e valore hash della password, procedendo a un escalation dei privilegi sulla macchina della vittima.
Marco Rottigni, Consulting System Engineer Southern Europe di FireEye, ha commentato: “Per diffondersi attraverso la rete aziendale alberghiera, APT28 ha utilizzato una versione dell’exploit EternalBlue SMB che è stato combinato con il pesante utilizzo di py2exe per compilare script Python. Questa è la prima volta che abbiamo notato l’APT28 incorporare questo exploit nella loro attività di intrusione”.
FireEye ha verificato che, nell’incidente occorso nel 2016, la vittima è stata compromessa dopo il collegamento ad una rete Wi-Fi dell’hotel.
Dodici ore dopo la connessione iniziale della vittima alla rete Wi-Fi accessibile al pubblico, APT28 ha effettuato accesso alla macchina target con le credenziali rubate. Le 12 ore possono essere state un intervallo di tempo necessario per trovare la password dal valore hash in modalità offline. Dopo aver effettuato l’accesso alla macchina, l’attaccante ha implementato gli strumenti malevoli sulla macchina muovendosi lateralmente nella rete della vittima fino all’accesso all’account OWA della vittima.
“Non possiamo confermare come sono state rubate inizialmente le credenziali nell’incidente del 2016, ma di sicuro sappiamo che successivamente nell’attacco è stato impiegato lo strumento Responder”, ha aggiunto Rottigni. “Poiché questo strumento permette ad un aggressore di rilevare la password dal network, avrebbe anche potuto essere utilizzato sulla rete Wi-Fi dell’hotel per ottenere le credenziali di un utente”.
L’attività di spionaggio informatico contro l’industria alberghiera è in genere focalizzata sulla raccolta di informazioni su o dagli ospiti dell’hotel piuttosto che sull’industria alberghiera stessa, anche se gli attori possono raccogliere informazioni direttamente sull’hotel come mezzo per facilitare altre operazioni. Ad esempio il personale business o governativo che viaggia, soprattutto in un paese straniero, svolge le proprie attività spesso affidatosi a sistemi diversi da quelli utilizzati nel proprio ufficio; potrebbe quindi non avere familiarità con i livelli di sicurezza di tali sistemi e il loro stato di vulnerabilità.
APT28 non è l’unico gruppo hacker che prende di mira i viaggiatori; anche il South Korea-nexus Fallout Team (Darkhotel) ha utilizzato aggiornamenti software su reti Wi-Fi infette in hotel asiatici e il malware Duqu 2.0 è stato trovato su network di hotel europei che sono stati utilizzati tra gli altri dai partecipanti ai negoziati nucleari iraniani.
I nuovi attacchi rilevati delineano un nuovo vettore di infezione utilizzato dal gruppo APT28, che sta sfruttando le reti Wi-Fi meno sicure degli hotel per rubare le credenziali e uno strumento di poisoning del NetBIOS Name Service per scalare i privilegi. Le già ampie capacità e tattiche di APT28 continuano a crescere e perfezionarsi man mano che il gruppo espande i suoi vettori di infezione.
I viaggiatori devono sempre essere consapevoli delle minacce possibili durante i viaggi, specialmente all’estero, e prendere le dovute precauzioni per proteggere i loro sistemi e i loro dati. Le reti Wi-Fi accessibili al pubblico rappresentano una minaccia significativa e il loro utilizzo dovrebbe essere evitato quando possibile.
