Virustype: Malware/avanceret, vedvarende trussel (APT)
Det seneste angreb fra en virustrussel, kaldet "Darkhotel", er blevet analyseret af Kaspersky Labs globale efterforsknings- og analyseteam. Darkhotel-truslen synes at være en kombination af spear-phishing og farlig malware, der er udviklet til at opsnappe fortrolige oplysninger.
Cyberkriminelle bag Darkhotel har været aktive i næsten et årti og rettet deres skyts mod tusinder af ofre overalt på kloden. 90 % af de Darkhotel-inficeringer, vi har set, er i Japan, Taiwan, Kina, Rusland og Korea, men vi har også set inficeringer i Tyskland, USA, Indonesien, Indien og Irland.
Denne kampagne er usædvanlig, idet den benytter varierende grader af ondsindet målretning.
I den ene ende af spektret anvender de spear-phishing-e-mails til at infiltrere forsvarsindustrielle databaser (DIB), regeringer, NGO'er, store elektronik- og tilbehørsproducenter, medicinalvirksomheder, medicinske udbydere, militærrelaterede organisationer og politiske beslutningstagere. Angrebene følger den typiske spear-phishing-proces med grundigt forklædte Darkhotel-implantater. E-mailindhold med lokkemad omfatter ofte emner som atomkraft og våbenkapløb. Gennem de sidste mange år har spear-phishing-e-mails indeholdt en vedhæftet Adobe-nuldagssårbarhed eller links, som omdirigerer ofrets browsere til Internet Explorer-nuldagssårbarheder. Deres mål er at stjæle oplysninger fra disse organisationer.
I den anden ende af spektret spreder de malware i flæng via japanske P2P (peer-to-peer) fildelingswebsteder. Malwaren leveres som en del af et stort RAR-arkiv, der foregiver at tilbyde seksuelt indhold, men installerer en bagdørstrojaner, som indsamler fortrolige oplysninger om ofret.
Med en tilgang, der ligger et sted mellem disse to, retter de sig imod intetanende chefer, som rejser udenlands og bor på et hotel. Her inficeres ofrene med en sjælden trojaner, der udgiver sig for at være én af flere større softwareudgivelser, herunder Google Toolbar, Adobe Flash og Windows Messenger. Denne første fase af inficeringen anvendes af hackerne til at kvalificere deres ofre og downloade yderligere malware til mere betydelige ofres computere, som er udviklet til at stjæle fortrolige oplysninger fra ofrets computer.
Baseret på en streng i den ondsindede kode ser det ud, som om truslen peger hen imod en koreansk trusselsaktør som oprindelseskilden.
Uanset det teknisk avancerede niveau i mange målrettede angreb igangsættes de typisk ved at narre de enkelte medarbejdere til at gøre noget, som bringer virksomhedens sikkerhed i fare. Personale med offentlige roller (for eksempel ledende medarbejdere, salgs- og marketingpersonale) kan være særligt sårbare, især fordi de ofte er på farten og sandsynligvis benytter upålidelige netværk (for eksempel på hoteller) til at oprette forbindelse til virksomhedens netværk.
Selv om total forebyggelse kan være udfordrende, er her nogle tips til, hvordan du sikrer dig, når du rejser.