Darkhotel aneb příběh jedné neobyčejné pohostinnosti

Darkhotel

Přečtěte si, jak po dobu posledních několika let probíhal sofistikovaný cílený útok, tzv. Darkhotel, na hosty ubytované ve vybraných luxusních hotelech a připojujících se přes hotelovou Wi-Fi.

Útok nebyl cílen na nějakou konkrétní firmu nebo jednotlivce, ale kohokoliv, kdo se ubytoval v blíže nejmenovaném luxusním hotelu nacházejícím se v Japonsku, Tchajwanu, Číně, Rusku, Korei, Hongkongu a některých dalších státech, byl pro útočníky dostatečně zajímavý a připojil se přes hotelovou Wi-Fi síť do internetu.

A jelikož se jednalo o luxusní hotely, není divu, že se v nich ubytovávali vysoce postavení vrcholoví manažeři nejrůznějších firem, kteří se pak stali obětí útoku. Jak již bylo naznačeno, ne každý host byl po připojení do sítě nakažen. Útočníci si svou oběť vybírali a to na základě jména a čísla pokoje, které bylo pro přihlášení do hotelové Wi-Fi vyžadováno. Je tedy pravděpodobné, že útočníci se dostali i k seznamu hostů a věděli, kdo je na jakém pokoji ubytován.

Útočnici nemuseli kompromitovat žádný veřejně dostupný web a spoléhat na watering holes, ani vymýšlet nějaký sofistikovaný spear phishing. Prostě si jen počkali, až se oběť připojí do hotelové Wi-Fi sítě. Otázka je, jakým způsobem došlo k infikování samotného Wi-Fi portálu a zda i ten byl hacknut nebo útočníci získali pro spolupráci někoho zevnitř, neboť do přihlašovací stránky Wi-Fi portálu, byl vložen iframe se škodlivým kódem, ten byl později odstraněn a zahlazeny byly i veškeré stopy.

V okamžiku, kdy došlo k přihlášení určitého hosta do hotelové Wi-Fi, byla mu vnucena aktualizace nějakého běžně používaného SW, např. Adobe Flash, který byl digitálně podepsán důvěryhodným certifikátem. Ovšem spolu s daným updatem se hostovi nainstaloval i backdoor, který následně útočníkovi umožňoval do počítače oběti nainstalovat další malware, který pak kradl přihlašovací údaje k nejrůznějším službám a infikoval další spustitelné soubory.

Samotný malware se skládal z několika komponent, které byly v průběhu let updatovány. Docházelo i ke sbírání informací ohledně použitého antimalware řešení na zařízení oběti a jejich odesílání na C&C servery. Malware obsahoval i komponentu, která se chovala jako virus, a nakazila všechny spustitelné soubory na připojených a sdílených discích, tím mělo být zajištěno šíření malwaru i na další počítače v okamžiku připojení se do podnikové sítě.

Použitý keylogger se nesnažil ani nijak maskovat a zachycené údaje šifroval pomocí proudové šifry ne nepodobné RC4, a ukládal je do náhodně pojmenovaného .tmp souboru ve stejném adresáři. Náhodně vygenerovaný klíč pak ukládal trochu netradičně doprostřed samotného zašifrovaného souboru. Cílem útoku však nebyly jen aktuálně zadávané přihlašovací údaje, ale i ty již dříve uložené v systému prostřednictvím prohlížeče Internet Explorer 6, 7, 8, 9, Mozilla Firefox <12.0 a Google Chrome.

Certifikáty vázající se k privátnímu klíči, kterým byl malware podepsán, pocházely od CA GTE CyberTrust, GlobalSign a Verisign a používaly příliš slabou kryptografii, neboť byl použit RSA klíč o délce pouhých 512 bitů a hashovací algoritmus MD5. Útočníkům tak nedalo moc práce vygenerovat odpovídající privátní klíč a tím pak malware podepisovat.

Je důležité zdůraznit, že v tomto případě nedošlo tak ke kompromitaci žádné certifikační autority jako tomu bylo v případě DigiNotar, kdy byly vydávány podvodné certifikáty. Zde byla jasně na vině podřízená malajsijská CA, která vydala 22 takto slabých certifikátů, jejichž 512 bitové klíče se dají snadno prolomit během pár dnů a náklady na toto lámání/faktorizaci se pohybují v desítkách až stovkách dolarů.

Malware kromě toho i kontroloval, zda není spuštěn ve virtuálním prostředí a to načtením hodnoty záznamu HKLM\HARDWARE\DESCRIPTION\System\CentralProcessor\0 v registrech Windows a dále pak zda na počítači neběží BitDefender.

Detailní informace ohledně tohoto útoku jsou uvedeny v tomto PDF, a technické detaily pak v tomto PDF, ovšem ani zde se nedozvíme, jaká byla úroveň zabezpečení těchto Wi-Fi sítí, jakým způsobem byl Wi-Fi portál napaden, v jakých hotelech k útoku došlo, zda se jednalo o cílený útok na konkrétní představitele určitých organizací, či se útočníci řídili heslem padni komu padni, a teprve poté se zcizené informace pokusili zpeněžit.

[youtube=http://www.youtube.com/watch?v=HQpGzivvtqg&w=600&rel=0]

Závěr: Wi-Fi v hotelech mohou být pod kontrolou útočníků, a proto se vyplatí používat vlastní připojení přes mobilní síť. Pokud není zbytí, tak je žádoucí přes hotelovou Wi-Fi navazovat jen VPN spojení do firmy. V případě instalace nějakého SW je pak vhodné i kontrolovat, kdo a komu certifikát vydal a zda je použita silná kryptografie.

Máte nějaké další doporučení? Napište.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: , ,


K článku “Darkhotel aneb příběh jedné neobyčejné pohostinnosti” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: