Darkhotel, furto di dati aziendali negli hotel

I ricercatori dei Kaspersky Lab hanno scoperto una vasta operazione di spionaggio industriale, denominata Darkhotel, che da almeno 4 anni permette ai cybercriminali di rubare dati sensibili dai computer dei dirigenti aziendali. L’attacco viene effettuato attraverso le reti WiFi degli hotel di lusso, sfruttando una combinazione di diverse tecniche e vulnerabilità zero-day di noti software. I target vengono colpiti con precisione chirurgica. Nessuno di essi viene attaccato due volte, in quanto le informazioni vengono rubate al primo contatto.

In base alle indagini svolte dai Kaspersky Lab, il gruppo di hacker conosce in anticipo gli spostamenti dei top executive (CEO, vice presidenti, responsabili delle vendite, ecc.) e quando effettuano il check-in negli alberghi. Se le ignare vittime si collegano alla rete WiFi, compromessa mediante un attacco man-in-the-middle, vengono invitate al download di una backdoor mascherata da software legittimo, ad esempio Adobe Flash, Google Toolbar o Windows Messenger. In realtà, viene installato un software di spionaggio. Il codice del malware non viene rilevato, in quanto è firmato con certificati digitali clonati.

La backdoor viene usata per scaricata tool più sofisticati che registrano i tasti digitati, le password salvate in Firefox, Chrome e Internet Explorer, le credenziali di login ai servizi online e, soprattutto, le informazioni sensibili delle aziende rappresentate dai dirigenti. I dati vengono inviati in forma criptata a server remoti. Al termine dell’operazione di spionaggio, i cybercriminali cancellano tutti i tool per non lasciare tracce dell’attacco.

Kaspersky non ha ancora scoperto la nazionalità del gruppo, ma si tratta sicuramente di persone con elevate competenze in matematica e cripto-analisi. Pertanto sembra probabile che la campagna di spionaggio sia stata organizzata da una agenzia governativa. I ricercatori russi non hanno svelato i nomi degli hotel, affermando però che non hanno ricevuto molta collaborazione durante le indagini. Per prevenire un attacco Darkhotel, Kaspersky consiglia di usare una VPN ed evitare aggiornamenti software di cui non si conosce il fornitore con assoluta certezza.