News

"Darkhotel"-Cyberspionage-Gruppe wieder aktiv

Hacking über WLANs in Luxushotels

Redaktion RiskNET10.08.2015, 17:25

Nach dem Anfang Juli 2015 bekannt gewordenen Hack der italienischen Firma Hacking Team, einem Lieferanten von Spionagesoftware für Regierungen und Strafverfolgungsbehörden, setzen nun einige Cyberspionage-Gruppen die erbeuteten Werkzeuge für ihre böswilligen Angriffe ein. Diese Exploits zielen auf Sicherheitslücken in Adobe Flash Player und Windows. Zumindest einer dieser Exploits wird von der mächtigen Darkhotel-Gruppe1 eingesetzt, die damit wieder verstärkt Führungskräfte zumeist in Hotels angreift.

Im Jahr 2014 entdeckten die Cybercrime-Experten von Kaspersky Lab die Elite-Cyberspionage-Gruppe Darkhotel. Die Gruppe ist bekannt dafür, über kompromittierte WLANs in Luxushotels hochrangige Führungskräfte anzugreifen. Unmittelbar nach dem Einbruch bei Hacking Team am 5. Juli 2015, setzten die Akteure hinter Darkhotel eine Zero-Day-Schwachstelle aus dem Bestand von Hacking Team ein. Es ist nicht bekannt, dass Darkhotel ein Kunde bei Hacking Team ist. Daher dürfte sich die Gruppe die Dateien beschafft haben, sobald diese öffentlich verfügbar wurden.

Es ist nicht das erste Mal, dass Darkhotel Zero-Day-Sicherheitslücken nutzt. Kaspersky Lab nimmt an, dass die Cyberspionage-Gruppe in den vergangenen Jahren ein gutes halbes Dutzend Zero-Day-Exploits eingesetzt hat, die vor allem auf Adobe Flash Player zielten. Zur Beschaffung hat Darkhotel offenbar beträchtliche Summen investiert. Mit der aktuellen Angriffswelle im Jahr 2015 erweiterte Darkhotel seinen Aktionsradius rund um die Welt, wobei gezielte Spearphishing-Attacken auf Opfer aus Deutschland sowie Nord- und Südkorea, Russland, Japan, Bangladesch, Thailand, Indien und Mozambique ausgeführt wurden. 

Unfreiwillige Hilfe von Hacking Team

Die auf APT-Attacken (Advanced Persistent Threats) spezialisierte Darkhotel-Gruppe ist schon seit knapp acht Jahren aktiv. Zu ihren Methoden zählt der Einsatz von Social Engineering-Techniken, gestohlenen Sicherheitszertifikaten und die Kompromittierung von WLAN-Netzen in Hotels. Neu ist jetzt die Verwendung von Zero-Day-Exploits aus dem Bestand von Hacking Team. Hier ein Überblick über die Methoden von Darkhotel:

  • Die Gruppe setzt weiterhin gestohlene Zertifikate aus seinem Bestand ein. Sie werden für die Downloader und Backdoor-Trojaner benutzt, um das angegriffene System zu täuschen. Die jüngst verwendeten Zertifikate stammen von der Firma Xuchang Hongguang Technology Co. Ltd. 
  • Unermüdliches Spearphishing: die APT-Angriffe von Darkhotel erfolgen im Abstand von mehreren Monaten immer wieder beim gleichen Ziel, unter Einsatz derselben Social-Engineering-Schemata. 
  • Einsatz eines Zero-Day-Exploits: die kompromittierte Webseite "tisone360.com" enthält die ein ganzes Arsenal von Backdoor-Trojanern und Exploits, darunter auch den Zero-Day-Exploit von Hacking Team.

"Darkhotel ist mit einem weiteren Exploit für Adobe Flash Player zurück, und dieses Mal steht der Exploit anscheinend in Zusammenhang mit dem Leck bei Hacking Team", erklärt Kurt Baumgartner, Principal Security Researcher bei Kaspersky Lab. "Die Gruppe hat zuvor schon einen Flash-Exploit auf der kompromittierten Website deponiert, welchen wir bereits im Januar 2014 als Zero-Day an Adobe meldeten. Darkhotel hat reihenweise Zero-Days und aktuelle Exploits von Flash verbraucht. Vermutlich hat die Gruppe noch einige Exploits zum Einsatz gegen hochrangige Personen weltweit auf Lager. Aus früheren Angriffen wissen wir, dass Darkhotel CEOs, Vorstandsmitglieder sowie leitende Angestellte im Bereich Marketing, Vertrieb und Entwicklung im Visier hat." 

Seit dem vergangenen Jahr hat Darkhotel zusätzlich an seinen Verteidigungstechniken gearbeitet, und zum Beispiel seine Checkliste der Anti-Viren-Software erweitert. Der Darkhotel Downloader kann die Anti-Viren-Technologien von 27 Sicherheitsanbietern identifizieren, mit der Intention, sich vor ihnen zu verbergen. 

1 securelist.com/blog/research/71713/darkhotels-attacks-in-2015 und securelist.com/blog/research/66779/the-darkhotel-apt/ 

[ Bildquelle: © xurzon - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Kolumne

Artificial Intelligence

Vom Traum zur Realität

Andreas Eicher | Frank Romeike [Redaktion RiskNET]09.01.2019, 14:45

"Künstliche Intelligenz oder Künstliche Dummheit?" fragte Anfang des Monats Deutschlandfunk in einem Beitrag. Und damit wären wir mittendrin in der Diskussion um das Für und Wider der...

Interview

Corporate-Governance

Aufsichtsrat: Höllenjob oder Sonnengott?

Redaktion RiskNET27.12.2018, 08:00

Neben dem rechtlichen Rahmen mit all ihren Gesetzen, Normen und Standards steht bei Corporate Governance das Ziel einer guten, verantwortungsbewussten und auf langfristige Wertschöpfung basierende...

Interview

Smarte Maschinen: Diener oder Dämonen?

Wie Künstliche Intelligenz unser Leben verändert ...

Redaktion RiskNET10.12.2018, 20:23

Ulrich Eberl, Zukunftsforscher und Buchautor, reiste in seiner Keynote "Smarte Maschinen – neue Sicherheitsanforderungen im Zeitalter der Künstlichen Intelligenz" auf dem RiskNET Summit...

Studie

Klima-Risiko-Index

Risiken zukünftiger klimabedingter Schäden

Redaktion RiskNET05.12.2018, 07:53

Mit mehr als 11.500 Todesopfern und über 375 Milliarden US-Dollar (in Kaufkraftparitäten) Schäden geht das Jahr 2017 als das bisher verheerendste Extremwetterjahr weltweit in die jüngere Geschichte...

Kolumne

Neue Slogans oder ein Gebot der Stunde?

Robuste Energiesysteme und resiliente Menschen

Herbert Saurugg19.11.2018, 17:07

In den vergangenen Jahrzehnten hat die technische Vernetzung rasant zugenommen. Ermöglicht wurde diese durch eine zunehmend leistungsfähigere Informations- und Kommunikationstechnik (IKT). Kaum ein...