返回新闻列表

卡巴斯基实验室揭秘“Darkhotels”——令企业高管深受其害的网络间谍活动

        卡巴斯基实验室的全球研究与分析团队专家调查了“黑暗酒店”(Darkhotel)网络间谍活动。该活动已潜伏至少四年以上,并且以在国外出差的企业高管为目标,窃取其敏感信息。“黑暗酒店”会在受害者逗留奢华酒店期间发起攻击。作案团伙不会重复攻击同一目标,但是其攻击行动如外科手术般精准,能够在首次攻击时一举获得所有有价值的信息,同时删除作案痕迹,继续潜伏,伺机等待下一知名人士。最近一次攻击活动的受害者包括在亚太地区经商与投资的美国和亚洲高管,如首席执行官、高级副总裁、销售总监、市场总监以及高级研发人员。谁会成为下一个攻击目标?卡巴斯基实验室在此提醒,该威胁行动仍处于活跃状态。

“黑暗酒店”行动如何进行

        黑暗酒店攻击行动可以有效入侵酒店网络,多年来不断访问那些甚至被公认为机密且安全的系统。他们坐等受害者签到并连接酒店的Wi-Fi网络,输入房间号与姓氏进行登录。攻击者在被入侵的网络中看到受害者后,会欺骗其下载并安装一款伪装成合法软件(谷歌工具栏、Adobe Flash或Windows Messenger)更新的后门程序。毫无戒备之心的高管就这样下载了酒店“欢迎礼包”并遭受感染。而这一后门程序就是黑暗酒店的间谍软件。

        后门程序一旦进入系统,将会进一步下载更多高级窃取工具:一款具备数字签名的高级密码窃取器、Karba木马与信息窃取组件。这些工具负责收集系统信息以及安装在系统中的反恶意软件信息,并窃取所有键盘记录,寻找Firefox、Chrome、IE、Gmail Notifier、Facebook、Yahoo!与谷歌的登陆信息及其它机密信息。受害者将因此丢失敏感信息,如企业的知识产权。攻击行动结束后,攻击者会小心翼翼地将这些工具从酒店网络中清除,继续潜伏其中。

        卡巴斯基实验室首席研究员Kurt Baumgartner就Darkhotel发表评论说:“黑暗酒店在过去几年针对知名人士成功发起了多次攻击。他们所运用的手段和技巧超越了普通的网络犯罪行为。黑暗酒店的幕后攻击者具有高超的运营能力、数学和密码破解攻击能力,能够滥用受信任的商业网络,并对特定类型的受害者实施精准的战略攻击。”

        然而,黑暗酒店恶意活动并无规律可循:它大范围地传播恶意软件,同时又具有很强的针对性。请点击此处,阅读有关特定恶意攻击向量的更多信息。

        “针对性与随意性相混合的攻击活动在高级持续性威胁中已越发常见。这些针对性攻击可以入侵知名的受害者,而僵尸网络式的行动方式则可以大范围地进行监视或执行其它任务,如对敌方展开分布式拒绝服务(DDoS)攻击,或者对其感兴趣的受害者使用更加复杂的网络间谍工具”,Kurt Baumgartner补充道。

如何对抗黑暗酒店的诡计

        在外出差时,应谨慎使用任何网络,甚至于酒店的半开放网络。此次黑暗酒店案件便是一种进化的攻击向量:宝贵信息的拥有者可以轻松沦为黑暗酒店或类似攻击活动的受害者。鉴于该活动仍处于活跃中,卡巴斯基实验室建议采取以下措施对抗这一威胁:

  • 选择一个虚拟私有网络(VPN)供应商,这样一来,在访问开放或半开放的Wi-Fi时,你将得到加密的通讯通道。
  • 在外出差时,谨慎进行软件更新。请确认被推荐的更新安装程序由正确的供应商提供。
  • 确保你的网络安全解决方案包含对抗新兴威胁的启发式防御功能,而非仅具有基础反病毒防护功能。
  • 请访问cybersmart.kaspersky.com/privacy,了解更多安全小贴士。

补充信息

  • 恶意代码中的字符串表明,攻击者所使用的语言为韩语。
  • 卡巴斯基实验室的产品能够检测并成功拦截黑暗酒店组件所使用的恶意程序及其变体。
  • 卡巴斯基实验室目前正在与相关机构合作,共同解决这一事故。
  • 请访问Securelist,阅读有关黑暗酒店高级持续性威胁的完整报告。

        请点击此处,观看黑暗酒店威胁行动的分析视频。

        请访问Securelist网站,阅读完整报告。