Gå til hovedindhold
resources

Darkhotel-malwarevirustrussel (APT)

VIRUSDEFINITION

Virustype: Malware/avanceret, vedvarende trussel (APT)

Hvad er Darkhotel-truslen?

Det seneste angreb fra en virustrussel, kaldet "Darkhotel", er blevet analyseret af Kaspersky Labs globale efterforsknings- og analyseteam. Darkhotel-truslen synes at være en kombination af spear-phishing og farlig malware, der er udviklet til at opsnappe fortrolige oplysninger.

Cyberkriminelle bag Darkhotel har været aktive i næsten et årti og rettet deres skyts mod tusinder af ofre overalt på kloden. 90 % af de Darkhotel-inficeringer, vi har set, er i Japan, Taiwan, Kina, Rusland og Korea, men vi har også set inficeringer i Tyskland, USA, Indonesien, Indien og Irland.

Oplysninger om virustruslen

Hvordan fungerer Darkhotel-truslen?

Denne kampagne er usædvanlig, idet den benytter varierende grader af ondsindet målretning.

(1) Spear Phishing

I den ene ende af spektret anvender de spear-phishing-e-mails til at infiltrere forsvarsindustrielle databaser (DIB), regeringer, NGO'er, store elektronik- og tilbehørsproducenter, medicinalvirksomheder, medicinske udbydere, militærrelaterede organisationer og politiske beslutningstagere. Angrebene følger den typiske spear-phishing-proces med grundigt forklædte Darkhotel-implantater. E-mailindhold med lokkemad omfatter ofte emner som atomkraft og våbenkapløb. Gennem de sidste mange år har spear-phishing-e-mails indeholdt en vedhæftet Adobe-nuldagssårbarhed eller links, som omdirigerer ofrets browsere til Internet Explorer-nuldagssårbarheder. Deres mål er at stjæle oplysninger fra disse organisationer.

(2) Levering af malware

I den anden ende af spektret spreder de malware i flæng via japanske P2P (peer-to-peer) fildelingswebsteder. Malwaren leveres som en del af et stort RAR-arkiv, der foregiver at tilbyde seksuelt indhold, men installerer en bagdørstrojaner, som indsamler fortrolige oplysninger om ofret.

(3) Inficering

Med en tilgang, der ligger et sted mellem disse to, retter de sig imod intetanende chefer, som rejser udenlands og bor på et hotel. Her inficeres ofrene med en sjælden trojaner, der udgiver sig for at være én af flere større softwareudgivelser, herunder Google Toolbar, Adobe Flash og Windows Messenger. Denne første fase af inficeringen anvendes af hackerne til at kvalificere deres ofre og downloade yderligere malware til mere betydelige ofres computere, som er udviklet til at stjæle fortrolige oplysninger fra ofrets computer.

Baseret på en streng i den ondsindede kode ser det ud, som om truslen peger hen imod en koreansk trusselsaktør som oprindelseskilden.

Hvilken betydning har Darkhotel?

Uanset det teknisk avancerede niveau i mange målrettede angreb igangsættes de typisk ved at narre de enkelte medarbejdere til at gøre noget, som bringer virksomhedens sikkerhed i fare. Personale med offentlige roller (for eksempel ledende medarbejdere, salgs- og marketingpersonale) kan være særligt sårbare, især fordi de ofte er på farten og sandsynligvis benytter upålidelige netværk (for eksempel på hoteller) til at oprette forbindelse til virksomhedens netværk.

Darkhotel-kampagnens egenskaber

  • Målrettede angreb fokuseret på ofre på C-niveau: Administrerende direktører, direktører, salgs- og marketingchefer og ledende forsknings- og udviklingsfolk
  • Banden anvender både målrettede angreb og aktiviteter af botnet-typen. De kompromitterer hotelnetværker og iscenesætter derefter angreb fra disse netværker mod udvalgte, højt profilerede ofre. Samtidig benytter de aktiviteter af botnet-typen til massiv overvågning eller til at udføre andre opgaver, som for eksempel DDoS-angreb (distribueret servicenægtelse), eller til at installere mere avancerede spionageværktøjer på særligt interessante ofres computere.
  • Brug af nuldagssårbarheder målrettet Internet Explorer- og Adobe-produkter.
  • Brug af en avanceret keylogger på lavt niveau til at stjæle fortrolige oplysninger.
  • Ondsindet kode, der udnytter stjålne, underskrevne digitale certifikater.
  • En vedvarende kampagne – Darkhotel har eksisteret i næsten et årti.

Hvordan kan jeg forhindre et Darkhotel-angreb?

Selv om total forebyggelse kan være udfordrende, er her nogle tips til, hvordan du sikrer dig, når du rejser.

  1. Hvis du planlægger at skulle have adgang til offentlig eller endda halvoffentlig Wi-Fi, bør du kun bruge betroede VPN-tunneler
  2. Få mere at vide og forstå, hvordan spear-phishing-angreb fungerer
  3. Oprethold og opdatér al systemsoftware
  4. Kontrollér altid eksekverbare filer, og håndter filer, som deles via P2P-netværk, med forsigtighed og mistænksomhed
  5. Når du er ude at rejse, skal du forsøge at begrænse softwareopdateringer
  6. Installér internetsikkerhedssoftware af god kvalitet: Vær sikker på, at den omfatter proaktiv beskyttelse mod nye trusler snarere end blot grundlæggende antivirusbeskyttelse

Andre artikler og links relateret til Malwaretrusler

Darkhotel-malwarevirustrussel (APT)

Det seneste angreb fra en virustrussel, kaldet "Darkhotel", er blevet analyseret af Kaspersky Labs globale efterforsknings- og analyseteam. Darkhotel-truslen synes at være en kombination af spear-phishing og farlig malware, der er udviklet til at opsnappe fortrolige oplysninger.
Kaspersky Logo