RC_Andreas
Administrator
Η ομάδα ψηφιακής κατασκοπείας «Darkhotel» ενισχύει τις επιθέσεις με τη χρήση προγράμματος exploit της Hacking Team.
Έπειτα από τη δημόσια διαρροή αρχείων της Hacking Team, εταιρείας που έγινε γνωστή για την πώληση «νόμιμου» spyware σε ορισμένους κυβερνητικούς φορείς και διωκτικές αρχές, αρκετές ομάδες ψηφιακής κατασκοπείας έχουν αρχίσει να χρησιμοποιούν, για τους δικούς τους σκοπούς, εργαλεία που προμήθευε η Hacking Team στους πελάτες της, για να πραγματοποιούν επιθέσεις.
Σε αυτά περιλαμβάνονται πολλά exploits που στρέφονται εναντίον του Adobe Flash Player και του λειτουργικού Windows. Τουλάχιστον ένα από αυτά έχει χρησιμοποιηθεί από την ομάδα «Darkhotel», έναν ισχυρό φορέα ψηφιακής κατασκοπείας,.
Η Kaspersky Lab έχει ανακαλύψει ότι η ελίτ ομάδα ψηφιακής κατασκοπείας «Darkhotel», η οποία αποκαλύφθηκε από τους ειδικούς της εταιρείας το 2014 και φημίζεται για τη διείσδυση σε δίκτυα Wi-Fi πολυτελών ξενοδοχείων με στόχο επιλεγμένα στελέχη επιχειρήσεων, χρησιμοποιεί μία zero-day ευπάθεια από τη συλλογή της Hacking Team από τις αρχές Ιουλίου, αμέσως μετά τη διαβόητη διαρροή αρχείων της Hacking Team στις 5 Ιουλίου. Καθώς δεν είναι γνωστή ως πελάτης της Hacking Team, η ομάδα Darkhotel φαίνεται να πήρε στην κατοχή της τα αρχεία, μόλις αυτά διέρρευσαν δημοσίως.
Αυτή δεν είναι η μόνη zero-day ευπάθεια που χρησιμοποιεί η ομάδα. Η Kaspersky Lab εκτιμά ότι τα τελευταία χρόνια μπορεί να έχει συναντήσει έξι ή και περισσότερα προγράμματα zero-day exploits με στόχο τον Adobe Flash Player, γεγονός που προφανώς μαρτυρά ότι ο φορέας επενδύει σημαντικά ποσά για την ενίσχυση του «οπλοστασίου» της. Το 2015, η ομάδα Darkhotel επέκτεινε τη γεωγραφική δράση της ανά τον κόσμο, ενώ εξακολουθεί να επιτίθεται σε στόχους στη Βόρειο και Νότιο Κορέα, τη Ρωσία, την Ιαπωνία, το Μπαγκλαντές, την Ταϊλάνδη, την Ινδία, τη Μοζαμβίκη και τη Γερμανία.
Παράπλευρη βοήθεια από την Hacking Team
Οι ερευνητές ασφάλειας της Kaspersky Lab έχουν καταγράψει νέες τεχνικές και δραστηριότητες της ομάδας Darkhotel, ενός γνωστού φορέα επιθέσεων APT, που δραστηριοποιείται εδώ και σχεδόν οκτώ χρόνια. Σε επιθέσεις από το 2014 και πριν, η ομάδα χρησιμοποιούσε κλεμμένα πιστοποιητικά υπογραφής κώδικα και υιοθετούσε ασυνήθιστες μεθόδους, όπως η παραβίαση Wi-Fi δικτύων ξενοδοχείων, με στόχο την τοποθέτηση εργαλείων κατασκοπείας στα συστήματα των στόχων της. Το 2015, πολλές από τις τεχνικές και τις δραστηριότητες αυτές έχουν διατηρηθεί, αλλά η Kaspersky Lab έχει επίσης ανακαλύψει νέες παραλλαγές κακόβουλων εκτελέσιμων αρχείων, συνεχή χρήση κλεμμένων πιστοποιητικών, αδιάκοπη χρήση τεχνικών κοινωνικής μηχανικής και τη χρήση προγραμμάτων zero-day ευπαθειών της Hacking Team.
- Συνεχής χρήση κλεμμένων πιστοποιητικών: Η ομάδα Darkhotel φαίνεται να διατηρεί ένα απόθεμα κλεμμένων πιστοποιητικών και χρησιμοποιεί downloaders και backdoors που διαθέτουν τις αντίστοιχες υπογραφές, ώστε να εξαπατήσουν το στοχευόμενο σύστημα. Στα πιστοποιητικά που έχουν ανακληθεί πιο πρόσφατα περιλαμβάνονται αυτά της Xuchang Hongguang Technology Co.Ltd., εταιρεία της οποίας τα πιστοποιητικά χρησιμοποιήθηκαν σε προηγούμενες επιθέσεις του απειλητικού φορέα.
- Αδιάκοπες πλάγιες επιθέσεις: Η APT επίθεση Darkhotel είναι πράγματι επίμονη. Προσπαθεί να επιτεθεί στο στόχο μέσω πλαγίων οδών και αν δεν τα καταφέρει, επιστρέφει μερικούς μήνες αργότερα, χρησιμοποιώντας περίπου τις ίδιες τεχνικές κοινωνικής μηχανικής.
- Εκμετάλλευση zero-day ευπαθειών της Hacking Team: Ο παραβιασμένος ιστότοπος, tisone360.com, περιέχει μια σειρά από backdoors και exploits. Το πιο ενδιαφέρον από αυτά είναι η zero-day ευπάθεια Hacking Team Flash.
[Δ.Τ. Kaspersky Lab]