专攻全球企业高管:Darkhotel APT组织利用酒店网络进行间谍攻击

一个存在长达七年的网络间谍组织正把攻击目标锁定在全球大型企业的高管身上。他们通过高级持续性威胁(APT)攻击,利用0day漏洞利用程序和键盘记录器,从这些企业高管商业访问时所住豪华酒店的网络中窃取信息。

卡巴斯基实验室(Kaspersky Lab)的安全研究员把这一威胁命名为“DarkHotel APT”,DarkHotel APT组织的攻击者有能力提前知晓攻击目标(企业高管)的酒店入住时间以及退房时间。

该组织从2009年就开始在亚洲实施攻击了,同时在美国、德国、爱尔兰等其他国家也出现过该组织的入侵事件记录。他们主要是利用酒店的无线网络有针对性的瞄准生产制造、国防、投资资本、私人股权投资、汽车等行业的精英管理者。

攻击方式

据卡巴斯基实验室的研究报告,该组织是使用0day漏洞和漏洞利用程序去攻击受害者的。攻击者会使用三种不同的恶意软件分布方法:恶意无线网络、P2P种子陷阱、特制的高级鱼叉式网络钓鱼。

当目标高管把它们的设备连接到酒店的无线或者有线时,他们的设备上就会出现伪造的软件更新提醒,如Adobe Flash,Google Toolbar,WindowsMessenger等软件的更新提示。而这些提示更新的软件均被植入了一个叫做木马滴管(trojan dropper)的恶意软件。

木马滴管里安装了多种键盘记录器和跟踪程序,它们可以追踪到受害者敲击键盘的记录和浏览网页时保存的密码、商业机密和其他隐私信息,然后将这些窃取的资料上传给Darkhotel组织。

DarkHotel恶意软件有能力去分解一个克隆证书所生成的密钥,制造一个可信任的证书。而攻击者分解并利用弱密钥的示例已经不新鲜了,早在2011年Fox-IT,Microsoft,Mozilla和Entrust就已经发出过警告。DarkHotel组织在近期窃取了第三方证书来签名他们的恶意程序。

简单粗暴的安全建议

如果你是企业高管或关键人物,为了不让攻击者窃取到你的机密隐私信息,最简单的方法就是不要直接连接酒店的无线网络和任何其他不受信任的网络,尽量使用手机移动数据流量上网。