Nhóm tin tặc Darkhotel hướng mục tiêu đến hệ thống mạng trong khách sạn

Một nhóm tin tặc nhắm đến các doanh nhân tại khu vực châu Á Thái Bình Dương với một chiến dịch tình báo mạng tinh vi, theo báo cáo của Kaspersky Lab.

Nạn nân của các vụ tấn công trải dài ở nhiều ngành nghề, nhiều quốc gia trên toàn cầu bao gồm cả thành viên ngành công nghiệp quốc phòng, tổ chức liên quan đến quân sự, các nhà hoạch định chính sách năng lượng, chính phủ, các tổ chức phi chính phủ, nhà sản xuất điện tử lớn, các công ty dược phẩm và các nhà cung cấp y tế. Các máy tính bị nhiễm mã độc hầu hết tại Nhật Bản, Đài Loan, Trung Quốc, Nga và Hàn Quốc nhưng cũng có nhiều nạn nhân đến từ Đức, Mỹ, Indonesia, Ấn Độ và Ireland.

Darkhotel sử dụng ba phương pháp phát tán mã bao gồm mạng Wifi độc hại, bẫy torrent P2P và Spear Phishing (sử dụng thư điện tử giả mạo). Tuy các mã độc tùy biến cao nhưng cơ sở hạ tầng hỗ trợ lại rất kém. Trong ba phương tấn công thì tấn công Wifi là thú vị nhất, kĩ thuật này được gọi là lợi dụng nguồn mạng có sẵn của khách sạn. Trong kịch bản tấn công này, một doanh nhân sẽ kết nối mạng Wifi của khách sạn. Sau khi vị khách này nhập tên và số phòng để thiết đặt kết nối, tin tặc sẽ lừa nạn nhân tải về các backdoor giả mạo là một bản cập nhật những công cụ phổ biến như Adobe Flash, Google Toolbar hay Windows Messenger. Tin tặc sử dụng backdoor để đánh giá vai trò trong công việc của nạn nhân rồi đánh cắp thông tin trên máy tính. Một loại mã độc khác có khả năng phát tán thông qua mạng nội bộ bằng những ổ đĩa chia sẻ. Kaspersky Lab phát hiện mạng lưới tấn công ở nhiều khách sạn trên khắp các chuỗi khách sạn khác nhau.

Tháng hai vừa qua, Kaspersky Lab phát hiện một vụ tấn công Spear Phishing nhắm đến người dùng Trung Quốc thông qua khai thác lỗ hổng zero-day trên Adobe Reader. Các email thường bao gồm chủ đề về năng lượng hạt nhân, vũ khí hoặc một tập tin đính kèm mã độc hoặc liên kết đến trang web khai thác lỗ hổng trên Internet Explorer.

Securityweek