Kaspersky: Executives zijn doelwit geworden van geavanceerde spionagecampagne bij hotels’

Regelmatig wordt gewaarschuwd voor de risico’s die het gebruik van openbare WiFi-netwerken met zich meebrengt. Je weet immers maar nooit wie er op dit netwerk allemaal meekijkt met jouw activiteiten. WiFi-netwerken in hotels zijn vaak afgeschermd met een wachtwoord en kunnen alleen worden gebruikt door hotelgasten die de inloggegevens bij het hotel hebben opgevraagd. Dit soort netwerken lijken dan ook veilig te zijn, maar schijn bedriegt.

Het Kaspersky Lab's Global Research and Analysis Team (GReAT) waarschuwt voor een digitale spionagecampagne waarbij cybercriminelen het hebben gemunt op executives die verblijven in luxeuze hotels. De cybercriminelen kraken het WiFi-netwerk van deze hotels en kunnen hierdoor zeer doelgericht cyberaanvallen uitvoeren op high-profile individuen die in de hotels verblijven. De cybercriminelen achter de Darkhotel spionagecampagne zouden maar liefst vier jaar lang onopgemerkt hun gang hebben kunnen gaan.

Professionale spionagecampagne

De Darkhotel spionagecampagne is zeer professioneel opgezet. De cybercriminelen slaan nooit twee keer toe bij hetzelfde doelwit en stelen bij het eerste contact direct alle aanwezige gevoelige informatie. Zodra de aanval is uitgevoerd worden alle gebruikte tools verwijderd en alle sporen gewist. Slachtoffers weten hierdoor doorgaans niet dat zij het slachtoffer zijn geworden van een cyberaanval. Doelwitten kunnen dus geen maatregelen nemen om te voorkomen dat gestolen data het bedrijf schade toebrengt.

De aanval wordt opgezet zodra een doelwit incheckt bij een hotel en verbinding maakt met het WiFi-netwerk van dit hotel. Gasten worden gevraagd in te loggen met hun kamernummer en achternaam, waardoor zij eenvoudig te herkennen zijn voor de cybercriminelen. De aanvallers monitoren het netwerkverkeer en kunnen hierdoor de high-profile gasten eenvoudig tussen de ‘normale’ gasten identificeren.

Backdoor installeren

Zodra het slachtoffers is geïdentificeerd bieden de cybercriminelen het doelwit software aan waarin een backdoor is verstopt. Het gaat hierbij bijvoorbeeld om Adobe Flash of Windows Messenger. Zodra deze backdoor is geïnstalleerd hebben de aanvallers toegang tot het systeem en kunnen zij extra malware installeren om de aanval uit te voeren. Het gaat hierbij onder andere om een keylogger, de trojan horse ‘Karba’ en een extra module voor de Darkhotel-malware, die de aanvallers in staat stelt alle aanwezige data te verzamelen. Om detectie te voorkomen worden deze tools zodra alle informatie binnen is gehaald zo snel mogelijk verwijderd. De cybercriminelen laten door deze werkwijze nauwelijks sporen achter van hun aanval, waardoor deze aanvallen lastig gedetecteerd kunnen worden.

Verschillende topbestuurders uit zowel de Verenigde Staten als Azië die in de APAC-regio zijn geweest zijn de afgelopen jaren doelwit geworden van de cyberaanvallen. Denk hierbij aan CEO’s, senior vice presidents, sales- en marketingdirecteuren en hooggeplaatst R&D-personeel. Kaspersky Lab noemt geen namen en laat daarnaast ook getroffen bedrijven in het midden.

Darkhotel

"In de afgelopen jaren heeft een krachtige actor, genaamd Darkhotel, een aantal succesvolle aanvallen uitgevoerd tegen high-profile individuen, waarbij gebruik is gemaakt van methoden en technieken die veel verder gaan dan het typische gedrag van cybercriminelen. Deze dreigingsactor beschikt over operationele bekwaamheid, mathematische en crypto-analytische offensieve mogelijkheden en andere middelen die voldoende zijn om vertrouwde commerciële netwerken te misbruiken en zich met strategische precisie te richten op specifieke categorieën slachtoffers”, zegt Kurt Baumgartner, Principal Security Researcher bij Kaspersky Lab in een reactie op Darkhotel.