Virusdreiging Darkhotel-malware (advanced persistent threat)

DEFINITIE VAN VIRUS

Type virus: malware/advanced persistent threat (APT)

Wat is de Darkhotel-dreiging?

De nieuwste virusdreiging, 'Darkhotel', is geanalyseerd door het Global Research and Analysis Team van Kaspersky Lab. De Darkhotel-dreiging lijkt een combinatie van spear phishing en gevaarlijke malware die ontworpen is om vertrouwelijke gegevens te stelen.

De cybercriminelen achter Darkhotel zijn al bijna tien jaar actief en hebben wereldwijd duizenden slachtoffers gemaakt. 90% van de Darkhotel-infecties hebben we waargenomen in Japan, Taiwan, China, Rusland en Zuid-Korea, maar we hebben ook besmettingen in Duitsland, de VS, Indonesië, India en Ierland gezien

Details van virusdreiging

Hoe werkt de Darkhotel-dreiging?

Deze campagne heeft als bijzonderheid dat er verschillende gradaties van schadelijke aanvallen worden ingezet.

(1) Spear phishing

Aan de ene kant gebruikt Darkhotel phishing-e-mails om te infiltreren in defensiegerelateerde industrie, overheden, NGO's, grote elektronica- en randapparatuurfabrikanten, farmaceutische bedrijven, medische zorgverleners, militaire organisaties en energiebeleidsmakers. De aanvallen hebben het typische verloop van een spear-phishingaanval met grondig gecamoufleerde Darkhotel-implantaten. E-mailinhoud die gebruikt wordt als lokaas heeft vaak onderwerpen als nucleaire energie en bewapening. In de afgelopen paar jaar hebben we spear-phishingmails gezien met Adobe-zero-day-dreigingen in de bijlage of links die de browsers van slachtoffers doorsturen naar Internet Explorer-zero-day-dreigingen. Hun doel is het stelen van gegevens van deze organisaties.

(2) Levering van malware

Aan de andere kant verspreidt Darkhotel lukraak malware via Japanse peer-to-peer-sites en sites voor bestandsuitwisseling. De malware wordt geleverd als onderdeel van een groot RAR-archief dat pretendeert seksuele content te bieden, maar eigenlijk een backdoor Trojan installeert die vertrouwelijke gegevens van het slachtoffer verzamelt.

(3) Infectie

In een aanpak die ergens tussen deze twee inligt, valt Darkhotel nietsvermoedende internationale zakenreizigers aan die in een hotel verblijven. De computers van de slachtoffers worden geïnfecteerd met een zeldzame trojan die vermomd is als een belangrijke softwarerelease, bijvoorbeeld voor Google Toolbar, Adobe Flash of Windows Messenger. Deze eerste fase van de infectie wordt door de aanvallers gebruikt om vast te stellen welke slachtoffers voor hun interessant zijn en vervolgens nog meer malware op de computers te zetten. Deze malware is ontworpen om vertrouwelijke gegevens te stelen vanaf de computers van slachtoffers.

Op basis van een string in de schadelijke code is vastgesteld dat de dreiging waarschijnlijk afkomstig is van een hacker in Zuid-Korea.

Wat valt er te leren van Darkhotel?

Hoe technisch geavanceerd veel gerichte aanvallen ook zijn, ze beginnen doorgaans met het om de tuin leiden van individuele medewerkers door ze iets te laten doen dat de bedrijfsveiligheid in gevaar brengt. Medewerkers met publieksgerichte taken (bijvoorbeeld senior executives, verkoop- en marketingmedewerkers) kunnen vooral kwetsbaar zijn, zeker omdat zij vaak onderweg zijn en waarschijnlijk gebruik zullen maken van onveilige netwerken (bijv. in hotels) om contact te maken met het bedrijfsnetwerk.

Kenmerken van de Darkhotel-campagne

• Gerichte aanvallen op slachtoffers in de hogere regionen van het bedrijfsleven: directeuren, senior vicevoorzitters, verkoop- en marketingdirecteuren, en R&D-medewerkers
• De bende gebruikt zowel gerichte aanvallen als acties met botnets. Ze compromitteren hotelnetwerken en vallen vervolgens high-profile slachtoffers aan. Tegelijkertijd gebruiken ze acties met botnets om grootschalig toezicht of andere taken uit te voeren, zoals DDoS-aanvallen (Distributed Denial of Service) of het installeren van meer geavanceerde spionagetools op de computers van extra interessante slachtoffers.
• Gebruik van zero-day-dreigingen om Internet Explorer en Adobe-producten aan te vallen.
• Gebruik van een geavanceerde, low-level keylogger om vertrouwelijke gegevens te stelen.
• Schadelijke code ondertekend door middel van gestolen digitale certificaten.
• Een hardnekkige campagne - Darkhotel is al bijna tien jaar actief.

Hoe kan ik een Darkhotel-aanval voorkomen?

Hoewel totale preventie lastig is, vind je hier enkele tips over hoe je je computer beschermt wanneer je op reis bent.

1. Als je van plan bent om openbare of semi-openbare wifi te gebruiken, moet je alleen vertrouwde VPN-tunnels gebruiken

2. Leer te begrijpen hoe een spear-phishingaanval werkt

3. Onderhoud alle systeemsoftware en voer regelmatig updates uit

4. Controleer uitvoerbare bestanden altijd en wees voorzichtig met bestanden die gedeeld worden via peer-to-peer-netwerken

5. Probeer als je op reis bent zo min mogelijk software-updates uit te voeren

6. Installeer hoogwaardige software voor internetbeveiliging: zorg ervoor dat deze proactieve bescherming tegen nieuwe dreigingen biedt in plaats van standaard anti-virusbeveiliging

Andere artikelen en links met betrekking tot Malwaredreigingen

• Bash Bug-virus
• Shylock-banktrojan (man-in-the-browser-aanval)
• Kaspersky Total Security