Eksperci z Kaspersky Lab odkryli, że Darkhotel, zaawansowane ugrupowanie szpiegowskie zidentyfikowane w 2014 r., które infiltrowało sieci Wi-Fi w luksusowych hotelach, biorąc na celownik wybranych dyrektorów korporacji, od lipca 2015 r. wykorzystywało dane wykradzione od organizacji Hacking Team. Od czasu wycieku plików należących do firmy Hacking Team – znanej ze sprzedaży „legalnego oprogramowania szpiegującego” niektórym rządom oraz organom ścigania – wiele grup
cyberszpiegowskich zaczęło wykorzystywać do własnych celów narzędzia, które wspomniana organizacja dostarczała klientom. Obejmują one szkodliwy kod wykorzystujący luki w aplikacji Adobe Flash Player i systemie Windows. Co najmniej jedna z tych metod została ostatnio wykorzystana przez potężne ugrupowanie cyberszpiegowskie „Darkhotel”.
Cyberprzestępcy użyli szkodliwego kodu wykorzystującego niezałataną jeszcze lukę (tzw. exploit zero-day) niedługo po nagłośnionym wycieku plików Hacking Teamu, który miał miejsce 5 lipca 2015 r. Grupa Darkhotel, która nie należała do klientów firmy Hacking Team, prawdopodobnie przechwyciła pliki, jak tylko stały się one dostępne publicznie.
Według szacunków Kaspersky Lab, w ciągu ostatnich kilku lat grupa Darkhotel mogła wykorzystać co najmniej pół tuzina szkodliwych programów atakujących poprzez niezałatane luki w aplikacji Adobe Flash Player, inwestując prawdopodobnie sporo pieniędzy, aby uzupełnić swój arsenał. W 2015 r. grupa Darkhotel rozszerzyła swój zasięg geograficzny na cały świat, kontynuując jednocześnie ukierunkowane ataki phishingowe w Korei Północnej i Południowej, Rosji, Japonii, Bangladeszu, Tajlandii, Indiach, Mozambiku i Niemczech.
W atakach z 2014 r. i wcześniejszych grupa wykorzystała do własnych celów skradzione certyfikaty służące do podpisywania kodu i stosowała nietypowe metody, takie jak włamywanie się do sieci Wi-Fi w celu umieszczenia w atakowanych systemach narzędzi szpiegowskich. W 2015 r. wiele z tych technik i działań było kontynuowanych, jednak badacze z Kaspersky Lab odkryli również nowe warianty szkodliwych plików wykonywalnych, regularne wykorzystywanie skradzionych certyfikatów, socjotechniki oraz zastosowanie narzędzi skradzionych od organizacji Hacking Team.
Poza ostatnim wykorzystaniem szkodliwego kodu należącego do Hacking Teamu, funkcjonowanie grupy Darkhotel charakteryzuje się następującymi działaniami:
- Ciągłe wykorzystywanie skradzionych certyfikatów. Grupa gromadzi skradzione certyfikaty i instaluje podpisane nimi szkodliwe programy w celu zmylenia atakowanego systemu.
- Nieprzerwane ataki phishingowe. Grupa Darkhotel jest bardzo wytrwała – próbuje zaatakować cel przy użyciu ukierunkowanych wiadomości phishingowych, a jeśli atak się nie powiedzie, wraca kilka miesięcy później z następnym atakiem, stosując niemal te same metody socjotechniki.
– Darkhotel powrócił z kolejnym exploitem dla Adobe Flash Playera, który jest przechowywany na zhakowanej stronie. Tym razem wydaje się, że został uzyskany w wyniku ataku na Hacking Team. Wcześniej grupa Darkhotel umieściła na tej samej stronie innego exploita dla Flasha, którego zidentyfikowaliśmy i zgłosiliśmy firmie Adobe w styczniu 2014 r. W ciągu minionych kilku lat ludzie stojący za omawianą kampanią cyberszpiegowską prawdopodobnie wykorzystali wiele podatności Flasha w celu przeprowadzania precyzyjnych ataków na kluczowe osoby na całym świecie. Wcześniejsze ataki pokazują, że Darkhotel szpieguje dyrektorów generalnych, zastępców prezesów, dyrektorów ds. sprzedaży i marketingu oraz starszy personel działów badawczo-rozwojowych – powiedział Kurt Baumgartner, główny badacz bezpieczeństwa, Kaspersky Lab.
Od ubiegłego roku grupa Darkhotel ciężko pracuje nad udoskonalaniem swoich technik obronnych, rozszerzając między innymi swój arsenał technologii przeciwdziałających wykrywaniu. Celem jednego z nowych szkodliwych programów tego ugrupowania jest identyfikowanie technologii antywirusowych 27 dostawców w celu ich obejścia.