VIRUSDEFINITION
Virustyp: skadlig programvara/avancerat långvarigt hot (APT)
Vad är Darkhotel-hotet?
Det senaste virushotet, det så kallade Darkhotel, har analyserats av Kaspersky Labs experter. Darkhotel tycks vara en kombination av nätfiske och skadlig programvara som utformats för att kapa konfidentiella data.
Cyberbrottslingarna bakom Darkhotel har varit verksamma i nästan ett decennium, med tusentals offer över hela världen. 90 % av de Darkhotel-infektioner vi sett har skett i Japan, Taiwan, Kina, Ryssland och Sydkorea, men vi har även fall i Tyskland, USA, Indonesien, Indien och Irland.
Om virushotet
Hur fungerar Darkhotel?
Det här hotet är unikt eftersom hackarna bakom använder varierande grader av skadlig kod.
(1) Harpunfiske
I den ena änden av spektrumet använder de harpunfiske för att infiltrera försvarsindustrins baser (DIB), regeringar, icke-statliga organisationer, stora elektronik- och kringutrustningstillverkare, läkemedelsföretag, medicinleverantörer, militära myndigheter och energipolitiska beslutsfattare. Attackerna är typiskt nätfiske, med grundligt förklädda Darkhotel-implantat. De e-postmeddelanden där smittan sprids handlar oftast om kärnkraft och vapen eller liknande. De senaste åren har nätfiskmeddelandena innehållit en Adobe-nolldagsattack i bifogade filer eller länkar där man omdirigerar offrens webbläsare till Internet Explorer-nolldagsattacker. Målet är att stjäla data från dessa organisationer.
(2) Distribution av skadlig kod
I andra änden av spektrumet sprider de urskillningslöst skadlig kod via japanska P2P-webbplatser (peer-to-peer). Den skadliga koden levereras i ett stort RAR-arkiv med förment sexuellt innehåll. I själva verket installerar de en bakdörrstrojan via arkivet, och med den samlar de in konfidentiella data från den drabbade.
(3) Infektion
I ett angreppssätt som ligger någonstans mellan dessa två riktar de in sig på intet ont anande chefer som reser utomlands och då bor på hotell. De smittar här offrens enheter med en sällsynt trojan som de maskerar som någon större programversion, t.ex. Google Toolbar, Adobe Flash och Windows Messenger. Med det första angreppet bearbetar hackarna sina offer. De laddar också ner mer skadlig programvara till viktigare offers datorer. Med den skadliga koden kan hackarna sedan stjäla sekretessbelagda data.
En viss sträng i den skadliga koden får oss att tro att en koreansk aktör ligger bakom angreppet.
Vad innebär Darkhotel?
Många riktade angrepp är tekniskt avancerade men riktas vanligtvis först mot enskilda medarbetare, som då luras till att göra någonting som äventyrar företagets säkerhet. Anställda med offentliga roller (t.ex. högre chefer eller försäljnings- och marknadsföringspersonal) kan vara särskilt utsatta, eftersom de reser ofta och då sannolikt använder företagsnätverket via opålitliga nätverk (t.ex. på hotell).
Så fungerar Darkhotel
- Riktade angrepp mot toppchefer: företagsledare, marknadschefer och forskningsledare.
- Ligan använder både riktade attacker och botnät. De smittar hotellnätverk och attackerar sedan utvalda toppchefer genom de smittade nätverken. De kan även använda botnät för massiv övervakning och andra attacker, t.ex. DDoS-attacker (Distributed Denial of Service), och installera mer sofistikerade cyberspionverktyg på de datorer som hör till särskilt intressanta offer.
- Användning av nolldagsattacker mot Internet Explorer och Adobe-produkter.
- Användning av avancerad lågnivå-tangentbordsloggning för att stjäla konfidentiell information.
- Skadlig kod signerad med stulna digitala certifikat.
- Ett beständigt hot – Darkhotel har varit verksamt i nästan ett decennium.
Hur förhindrar jag en Darkhotel-attack?
Det kan vara svårt att värja sig helt, men här kommer några tips på hur du skyddar dig när du reser.
1. Om du tänker använda offentlig eller ens halvoffentlig Wi-Fi bör du använda endast betrodda VPN-tunnlar.
2. Sätt dig in i hur nätfiskeattacker fungerar.
3. Underhåll och uppdatera all systemprogramvara.
4. Verifiera alltid körbara filer, och var aldrig naiv när du hanterar filer som delas i P2P-nätverk.
5. Uppdatera helst inte program när du är på resande fot.
6. Installera ett förstklassigt internetsäkerhetsprogram som omfattar proaktivt försvar mot nya hot, snarare än bara grundläggande skydd mot virus.