„Darkhotel“ greift wieder an
Nach dem Anfang Juli 2015 bekannt gewordenen Hack der italienischen Firma Hacking Team, einem Lieferanten von Spionagesoftware für Regierungen und Strafverfolgungsbehörden, setzen nun einige Cyberspionage-Gruppen die erbeuteten Werkzeuge für ihre böswilligen Angriffe ein.
Die Exploits zielen auf Sicherheitslücken in Adobe Flash Player und Windows. Zumindest einer dieser Exploits wird von der mächtigen Darkhotel-Gruppe eingesetzt, die damit wieder verstärkt Führungskräfte zumeist in Hotels angreift.
Es ist nicht das erste Mal, dass „Darkhotel“ Zero-Day-Sicherheitslücken nutzt. Kaspersky Lab nimmt an, dass die Cyberspionage-Gruppe in den vergangenen Jahren ein gutes halbes Dutzend Zero-Day-Exploits eingesetzt hat, die vor allem auf Adobe Flash Player zielten. Zur Beschaffung hat „Darkhotel“ offenbar beträchtliche Summen investiert. Mit der aktuellen Angriffswelle im Jahr 2015 erweiterte die Gruppe ihren Aktionsradius rund um die Welt, wobei gezielte Spearphishing-Attacken auf Opfer aus Deutschland sowie Nord- und Südkorea, Russland, Japan, Bangladesch, Thailand, Indien und Mozambique ausgeführt wurden.
Unfreiwillige Hilfe
Die auf APT-Attacken (Advanced Persistent Threats) spezialisierte Darkhotel-Gruppe ist schon seit knapp acht Jahren aktiv. Zu ihren Methoden zählt der Einsatz von Social-Engineering-Techniken, gestohlenen Sicherheitszertifikaten und die Kompromittierung von WLAN-Netzen in Hotels. Neu ist jetzt die Verwendung von Zero-Day-Exploits aus dem Bestand von Hacking Team. Hier ein Überblick über die Methoden:
- Die Gruppe setzt weiterhin gestohlene Zertifikate aus seinem Bestand ein. Sie werden für die Downloader und Backdoor-Trojaner benutzt, um das angegriffene System zu täuschen. Die jüngst verwendeten Zertifikate stammen von der Firma Xuchang Hongguang Technology Co. Ltd.
- Unermüdliches Spearphishing: die APT-Angriffe von Darkhotel erfolgen im Abstand von mehreren Monaten immer wieder beim gleichen Ziel, unter Einsatz derselben Social-Engineering-Schemata.
- Einsatz eines Zero-Day-Exploits: die kompromittierte Webseite „tisone360.com“ enthält die ein ganzes Arsenal von Backdoor-Trojanern und Exploits, darunter auch den Zero-Day-Exploit von Hacking Team.
„Darkhotel ist mit einem weiteren Exploit für Adobe Flash Player zurück, und dieses Mal steht der Exploit anscheinend in Zusammenhang mit dem Leck bei Hacking Team“, erklärt Kurt Baumgartner, Principal Security Researcher bei Kaspersky Lab.
Eine Analyse der neuerlichen „Darkhotel“-Angriffe ist hier verfügbar.