DarkHotel: campanha de espionagem em hotéis de luxo da Ásia

A ciberespionagem é a arma do século 2 e ela é tão perigosa que inclusive um aplicativo móvel aparentemente inofensivo é capaz de descobrir alguns segredos de um usuário descuidado.

A ciberespionagem é a arma do século 2 e ela é tão perigosa que inclusive um aplicativo móvel aparentemente inofensivo é capaz de descobrir alguns segredos de um usuário descuidado. Se existe ferramentas para atacar usuários comuns, então o que podemos esperar das campanhas de vigilância em grande escala criadas especificamente para espiar representantes das principais empresas e organizações governamentais do mundo?

DH

Nas últimas semanas, a Kaspersky Lab descobriu uma rede de espionagem, batizada de ‘Darkhotel “, que está ativa há mais de 07 anos em distintos hotéis asiáticos. Mas isso não é tudo, os espiões inteligentes e profissionais envolvidos nesta operação de longa duração criaram um conjunto de ferramentas que que consiste em variadas formas e métodos para invadir os computadores das vítimas.

O FBI mencionou pela primeira vez os ataques do DarkHotek em 2012. No entanto, o malware usado na campanha de espionagem (conhecido como Tapaoux) surgiu em 2007. As pesquisas realizadas sobre os servidores C & C e os registros utilizados para gerenciar a campanha determinaram que as conexões datam de janeiro de 2009. Portanto, levado em conta todos estes fatores, a campanha parece ter estado ativa por um bom tempo.

O método que os cibercriminsos utilizaram com maior frequência para se infiltrar nos computadores das vítimas foram as redes Wi-Fi de vários hotéis de luxo do continente asiático. Tudo indica que os cibercriminosos exploraram vulnerabilidade de zerp-day presentes no Adobe Flash e outros programas populares de importantes empresas. Levando em consideração que essas vulnerabilidades não são fáceis de encontrar, podemos supor três coisas: ou a campanha foi financiada economicamente por pessoas com muito dinheiro (as armas cibernéticas de alta complexidade são carissímas) ou os agenteenvolvidos nesta campanha de espionagem são de um altissímo nível de profissionalismo. O mais provável é que ambos os fatores são verdadeiros.

grey-The-Dark-Hotel

O método que acabamos de mencionar foi, provavelmente o mais utilizado, não foi o único que os cibercriminosos empregaram para levar adiante a campanha. Outras táticas alternativas incluíram trojans ocultos em arquivos de comics para adultos e links de phising enviados para e-mails de empregados do Estado e organizações não governamentais.

Os cibercriminosos usaram um keylogger sofisticado que incluía um método para roubar senhas salvas nos navegadores populares.

São muitas as causas, além do uso das vulnerabilidade zero-day, que evidenciam o alto nível de consciência dos cibercriminosos. Eles chegaram tão longe que inclusive conseguiram criar certificados de segurança digital, com o objetivo de espionar os canais de comunicação utilizados pelas vítimas. Estes ladrões digitais utilizaram um keylogger sofisticado que consistiu em um módulo integrados para roubar senhas salvas nos navegadores populares.

Curiosamente, os culpados eram extremamente cautelosos e projetaram uma série de medidas para impedir a detecção do malware. Em primeiro lugar, eles garantiram que o vírus tivesse um “período de incubação” muito longo: a primeira vez que o Trojan se conectou aos servidores C & C foi em 180 dias depois de ter se infiltrado nos sistemas. Em segundo lugar, o programa spyware tinha um protocolo de auto-destruição se o idioma do sistema mudasse para coreano.

Os cibercriminosos estavam operando principalmente no Japão, Taiwan e China. No entanto, a Kaspersky Lab conseguiu detectar ataques em outros países, incluindo aqueles territórios que estavam longe dos seus interesses.

Em relação ao Darkhotel, Kurt Baumgartner, pesquisador chefe de segurança da Kaspersky Lab, disse: “Nos últimos anos, Darkhotel tem realizado uma série de ataques bem-sucedidos contra indivíduos de alto perfil, empregando métodos e técnicas que vão muito além do típico comportamento cibercriminoso. São indivíduos com competência operacional, capacidade ofensiva matemática e cripto-analítica, empregando recursos que são suficientes para abusar redes comerciais confiáveis e tendo como alvo categorias específicas de vítimas com precisão estratégica”.

Finalmente, podemos dizer que os produtos da Kaspersky Lab detectam e neutralizam os programas maliciosos e suas variantes utilizadas pelo kit de ferramentas Darkhotel. Você pode ler a história completa da APT Darkhotel no Securelist.com.

Tradução: Juliana Costa Santos Dias

Dicas