Il "Darkhotel" attacca di nuovo
In seguito all'hacking dell'azienda italiana Hacking Team, fornitrice di software di spionaggio per governi e forze dell'ordine, reso pubblico all'inizio di luglio 2015, alcuni gruppi di spionaggio informatico stanno utilizzando gli strumenti catturati per i loro attacchi malevoli.
Gli exploit mirano alle vulnerabilità di Adobe Flash Player e di Windows. Almeno uno di questi exploit è utilizzato dal potente gruppo Darkhotel, che lo sta utilizzando nuovamente per attaccare sempre più spesso i dirigenti, soprattutto negli hotel.
Non è la prima volta che "Darkhotel" utilizza vulnerabilità zero-day. Kaspersky Lab ipotizza che il gruppo di cyberspionaggio abbia distribuito una buona mezza dozzina di exploit zero-day negli ultimi anni, che hanno preso di mira principalmente Adobe Flash Player. Darkhotel" ha apparentemente investito somme considerevoli per procurarseli. Con l'attuale ondata di attacchi del 2015, il gruppo ha ampliato il proprio raggio d'azione in tutto il mondo, effettuando attacchi mirati di spearphishing a vittime provenienti dalla Germania, dalla Corea del Nord e del Sud, dalla Russia, dal Giappone, dal Bangladesh, dalla Thailandia, dall'India e dal Mozambico.
Aiuto involontario
Il gruppo Darkhotel, specializzato in attacchi APT (Advanced Persistent Threats), è attivo da quasi otto anni. I loro metodi includono l'uso di tecniche di social engineering, il furto di certificati di sicurezza e la compromissione delle reti WLAN negli hotel. La novità è l'utilizzo di exploit zero-day provenienti dall'inventario di Hacking Team. Ecco una panoramica dei metodi:
- Il gruppo continua a utilizzare certificati rubati dal suo inventario. Vengono utilizzati dai downloader e dai Trojan backdoor per ingannare il sistema attaccato. I certificati utilizzati di recente provengono dall'azienda Xuchang Hongguang Technology Co. Ltd.
- Spearphishing incessante: gli attacchi APT di Darkhotel si ripetono sullo stesso obiettivo, utilizzando gli stessi schemi di social engineering, a intervalli di diversi mesi.
- Utilizzo di un exploit zero-day: il sito web compromesso "tisone360.com" contiene un intero arsenale di Trojan backdoor ed exploit, tra cui l'exploit zero-day di Hacking Team.
"Darkhotel è tornato con un altro exploit per Adobe Flash Player, e questa volta l'exploit sembra essere collegato alla fuga di notizie di Hacking Team", ha dichiarato Kurt Baumgartner, Principal Security Researcher di Kaspersky Lab.
Un'analisi dei recenti attacchi "Darkhotel" è qui disponibile.