I manager aziendali, specialmente i cosiddetti executive viaggiano spesso per lavoro, soggiornando in alberghi confortevoli che forniscono accesso a Internet tramite reti generalmente wireless. Quale zona di "pesca" migliore di questa per i cybercriminali?
Non dovrebbe stupire, dunque, che proprio sulle reti degli hotel è stata scoperta una minaccia, denominata Darkhotel APT, se non fosse che questa agisce più o meno indisturbata almeno dal 2007, secondo quanto rivelato dagli esperti dei Kaspersky Lab. Invero è questa caratteristica che rende tali minacce persistenti così insidiose. I cybercriminali dispongono di risorse in abbondanza, per continuare a variare il codice e sfuggire ai controlli.
Il malware APT Darkhotel infesta gli alberghi business
Come per la maggior parte degli attacchi APT, anche Darkhotel comincia a "studiare" i bersagli lanciando un messaggio di spear phishing: l'esca, ma poi sembra disporre di caratteristiche strane, stando a quanto riportato.
Innanzitutto sono stati utilizzati exploit zero day che riescono a evadere le difese più recenti di Microsoft e Adobe, ma, contemporaneamente, sono stati mandati messaggi a largo raggio indirizzati a target piuttosto vaghi, rispetto agli "standard" degli attacchi APT. Tra l'altro anche attraverso tecniche impiegate normalmente nel peer to peer (p2p).
Poi, come accennato, Darkhotel APT è riuscito a utilizzare le reti degli hotel per anni, colpendo Ceo, vicepresidenti di multinazionali e altri top executive soprattutto statunitensi, in particolare in viaggio nell'area Asia-Pacific. Però sono stati registrati attacchi anche in Europa, Italia compresa.
I volumi di attacchi più consistenti sono partiti nell'agosto 2010 e sono continuati almeno fino a tutto il 2013. Attualmente sono sotto osservazione alcune reti alberghiere.
"Criminalizzando", di fatto, il p2p, questi attacchi stanno inoltre delegittimando le Certification Authority (CA): infatti, gli attacchi riescono a bypassarle, ottenendo un certificato che attesti la sicurezza dei loro codici maligni. Con questo, in alcuni casi, sono riusciti ad attaccare altre CA e a riutilizzare certificati legittimi per backdoor e altri strumenti per rubare informazioni.
Le maglie di Darkhotel crescono rapidamente, protette dall'uso della crittografia e, pare, poche altre funzionalità piuttosto deboli. Però agisce selettivamente, perché gli esperti di Kaspersky hanno volutamente visitato siti "presidiati" da Darkhotel, cercando di attivare l'attacco con un "honey pot", ma senza riuscirvi.
Le imprese prese di mira facevano parte dei seguenti settori verticali:
- produttori di dispositivi elettronici;
- finanziare di capital e private equity;
- farmaceutiche;
- cosmetici e industrie chimiche;
- automotive.