專門在高檔酒店伏擊企業高管的網絡間諜:Darkhotel
責編:admin |2014-11-13 19:43:25卡巴斯基實驗室最近發現一個代號Darkhotel的網絡間諜活動,潛伏在高檔酒店的網絡中,專門挑選出國商務旅行的企業高管下手。
據調查Darkhotel的安全人員介紹,Darkhotel的背后是一個極為專業和干練的攻擊團隊,已經活躍了4年之久。他們一旦鎖定目標,通常都是一擊得手,獲取高價值信息和數據后,立刻抹除痕跡,徹底消失,決不回頭。
Darkhotel最近的重點目標是在美國和亞洲投資經營的頂級企業管理者,包括CEO、高級副總裁、營銷和市場總監以及研發負責人等,由于“來去無蹤”很難追查,目前依然沒有人能夠阻止Darkhotel的攻擊。
Darkhotel的攻擊方法非常復雜,有點類似安全牛此前介紹過的水源地攻擊,Darkhotel團隊對酒店行業的網絡安全缺陷了如指掌,預先入侵并獲得高級網絡權限,當目標獵物下榻酒店并登陸酒店WiFi網絡后(通常用戶名密碼就是酒店房間號和客戶姓名),攻擊者會向高管的電腦發送軟件升級提示,例如Flash插件、Google工具條或Windows Messenger等較為常見的升級提醒,或者在酒店的WiFi網絡登錄歡迎頁面中植入惡意軟件,在高管的筆記本電腦中植入后門或間諜軟件。出于對高檔酒店品牌的信任感,高管們很少會對這些升級信息或歡迎頁面產生懷疑。
后門程序成功植入高管電腦后,會自動下載更多高級信息竊取工具,例如有“合法”數字簽名的高級鍵盤記錄器,Karba木馬等,這些工具能夠采集鍵盤錄入信息、瀏覽器中緩存的密碼各種網絡賬戶等隱私信息。更糟糕的是,被攻擊的企業高管的電腦中最為敏感的知識產權內容也面臨失竊的風險。
卡巴斯基實驗室的安全專家指出,Darkhotel攻擊活動已經多次得手,其攻擊者采用的方法和技巧已經超出了普通意義上的網絡犯罪,而且他們有足夠的資源能夠闖入大量高檔酒店的商業專用網絡為所欲為,同時又能針對特定目標實施精確打擊。
Darkhotel攻擊活動代表著APT攻擊的最新趨勢:攻擊者將針對性攻擊和無差別規模化攻擊手段混合使用,先用針對性攻擊技術“搞定”高價值目標,隨后通過類似僵尸網絡的運營方式對多個目標進行規模化“運營”和監控,必要的時候挑選合適的“僵尸”升級為高級間諜工具。
Darkhotel攻擊的曝光為全球企業高管敲響了警鐘:沒有一家高檔酒店是安全的。卡巴斯基實驗室建議企業高管們在差旅期間采取以下安全防護措施:
使用WiFi網絡時請使用VPN
旅行期間對任何軟件升級提示都要保持警惕,確保升級包來自可信廠商并且有正確的數字簽名
確保你的網絡安全軟件具備主動防御功能,而不僅僅是基本的殺毒防護