Η ομάδα ψηφιακής κατασκοπείας «Darkhotel» ενισχύει τις επιθέσεις με exploits για Flash και Windows

Έπειτα από τη δημόσια διαρροή αρχείων της Hacking Team, εταιρείας που έγινε γνωστή για την πώληση «νόμιμου» spyware σε ορισμένους κυβερνητικούς φορείς και διωκτικές αρχές, αρκετές ομάδες ψηφιακής κατασκοπείας έχουν αρχίσει να χρησιμοποιούν, για τους δικούς τους κακόβουλους σκοπούς, εργαλεία που προμήθευε η Hacking Team στους πελάτες της, για να πραγματοποιούν επιθέσεις. Σε αυτά περιλαμβάνονται πολλά exploits που στρέφονται εναντίον του Adobe Flash Player και του λειτουργικού Windows. Τουλάχιστον ένα από αυτά έχει χρησιμοποιηθεί από την ομάδα «Darkhotel», έναν ισχυρό φορέα ψηφιακής κατασκοπείας,.

Η Kaspersky Lab έχει ανακαλύψει ότι η ελίτ ομάδα ψηφιακής κατασκοπείας «Darkhotel», η οποία αποκαλύφθηκε από τους ειδικούς της εταιρείας το 2014 και φημίζεται για τη διείσδυση σε δίκτυα Wi-Fi πολυτελών ξενοδοχείων με στόχο επιλεγμένα στελέχη επιχειρήσεων, χρησιμοποιεί μία zero-day ευπάθεια από τη συλλογή της Hacking Team από τις αρχές Ιουλίου, αμέσως μετά τη διαβόητη διαρροή αρχείων της Hacking Team στις 5 Ιουλίου. Καθώς δεν είναι γνωστή ως πελάτης της Hacking Team, η ομάδα Darkhotel φαίνεται να πήρε στην κατοχή της τα αρχεία, μόλις αυτά διέρρευσαν δημοσίως.

Αυτή δεν είναι η μόνη zero-day ευπάθεια που χρησιμοποιεί η ομάδα. Η Kaspersky Lab εκτιμά ότι τα τελευταία χρόνια μπορεί να έχει συναντήσει έξι ή και περισσότερα προγράμματα zero-day exploits με στόχο τον Adobe Flash Player, γεγονός που προφανώς μαρτυρά ότι ο φορέας επενδύει σημαντικά ποσά για την ενίσχυση του «οπλοστασίου» της. Το 2015, η ομάδα Darkhotel επέκτεινε τη γεωγραφική δράση της ανά τον κόσμο, ενώ εξακολουθεί να επιτίθεται σε στόχους στη Βόρειο και Νότιο Κορέα, τη Ρωσία, την Ιαπωνία, το Μπαγκλαντές, την Ταϊλάνδη, την Ινδία, τη Μοζαμβίκη και τη Γερμανία.

Παράπλευρη βοήθεια από την Hacking Team

Οι ερευνητές ασφάλειας της Kaspersky Lab έχουν καταγράψει νέες τεχνικές και δραστηριότητες της ομάδας Darkhotel, ενός γνωστού φορέα επιθέσεων APT, που δραστηριοποιείται εδώ και σχεδόν οκτώ χρόνια. Σε επιθέσεις από το 2014 και πριν, η ομάδα χρησιμοποιούσε κλεμμένα πιστοποιητικά υπογραφής κώδικα και υιοθετούσε ασυνήθιστες μεθόδους, όπως η παραβίαση Wi-Fi δικτύων ξενοδοχείων, με στόχο την τοποθέτηση εργαλείων κατασκοπείας στα συστήματα των στόχων της. Το 2015, πολλές από τις τεχνικές και τις δραστηριότητες αυτές έχουν διατηρηθεί, αλλά η Kaspersky Lab έχει επίσης ανακαλύψει νέες παραλλαγές κακόβουλων εκτελέσιμων αρχείων, συνεχή χρήση κλεμμένων πιστοποιητικών, αδιάκοπη χρήση τεχνικών κοινωνικής μηχανικής και τη χρήση προγραμμάτων zero-day ευπαθειών της Hacking Team.

• Συνεχής χρήση κλεμμένων πιστοποιητικών: Η ομάδα Darkhotel φαίνεται να διατηρεί ένα απόθεμα κλεμμένων πιστοποιητικών και χρησιμοποιεί downloaders και backdoors που διαθέτουν τις αντίστοιχες υπογραφές, ώστε να εξαπατήσουν το στοχευόμενο σύστημα. Στα πιστοποιητικά που έχουν ανακληθεί πιο πρόσφατα περιλαμβάνονται αυτά της Xuchang Hongguang Technology Co.Ltd., εταιρεία της οποίας τα πιστοποιητικά χρησιμοποιήθηκαν σε προηγούμενες επιθέσεις του απειλητικού φορέα.
• Αδιάκοπες πλάγιες επιθέσεις: Η APT επίθεση Darkhotel είναι πράγματι επίμονη. Προσπαθεί να επιτεθεί στο στόχο μέσω πλαγίων οδών και αν δεν τα καταφέρει, επιστρέφει μερικούς μήνες αργότερα, χρησιμοποιώντας περίπου τις ίδιες τεχνικές κοινωνικής μηχανικής.
• Εκμετάλλευση zero-day ευπαθειών της Hacking Team: Ο παραβιασμένος ιστότοπος, tisone360.com, περιέχει μια σειρά από backdoors και exploits. Το πιο ενδιαφέρον από αυτά είναι η zero-day ευπάθεια Hacking Team Flash.

Όπως δήλωσε ο Kurt Baumgartner, Principal Security Researcher της Kaspersky Lab.

"Η ομάδα Darkhotel έχει επιστρέψει με ένα ακόμη πρόγραμμα exploit για το Adobe Flash Player, το οποίο φιλοξενείται σε έναν παραβιασμένο ιστότοπο. Αυτή τη φορά, φαίνεται ότι το πρόγραμμα αυτό έχει προέλθει από τις διαρροές της Hacking Team. Η ομάδα είχε προηγουμένως χρησιμοποιήσει ένα διαφορετικό Flash exploit, το οποίο και αναφέραμε ως zero-day ευπάθεια στην Adobe, τον Ιανουάριο του 2014. Η Darkhotel φαίνεται να έχει στην κατοχή της πολλά zero-day και half-day exploit προγράμματα τα τελευταία χρόνια, και μπορεί να έχει συγκεντρώσει ακόμα περισσότερα για να εκτελέσει συγκεκριμένες επιθέσεις εναντίον υψηλόβαθμων στελεχών. Από προηγούμενες επιθέσεις γνωρίζουμε ότι η ομάδα Darkhotel κατασκοπεύει διευθύνοντες σύμβουλους, εκτελεστικούς αντιπρόεδρους, διευθυντικά στελέχη πωλήσεων και μάρκετινγκ και κορυφαία στελέχη Έρευνας & Ανάπτυξης"

Από το 2014, η ομάδα έχει βελτιώσει τις αμυντικές τεχνικές της, επεκτείνοντας – για παράδειγμα – τη λίστα τεχνολογιών αντι-ανίχνευσης. Η έκδοση του 2015 του Darkhotel downloader έχει σχεδιαστεί για να εντοπίζει τις antivirus τεχνολογίες 27 παρόχων λύσεων, με στόχο την παράκαμψη τους.

Περισσότερες πληροφορίες είναι διαθέσιμες στον ιστότοπο Securelist.com.