‘Executives in hotels zijn doelwit van cybercrime’

Wie in een hotel verblijft kan doorgaans gebruik maken van het WiFi-netwerk van dit hotel. Dit lijkt op het eerste oog veilig, maar is dit zeker niet altijd. Verschillende high-profile individuen zoals CEO's, senior vice presidents, sales- en marketingdirecteuren en top R&D-personeel zijn afgelopen jaar slachtoffer geworden van een spionagecampagne waarbij dit soort netwerken werden misbruikt.

Het Kaspersky Labs Global Research and Analysis Team (GReAT) onderzocht de ‘Darkhotel’ spionagecampagne. Cybercriminelen hebben met deze campagne vier jaar lang ongemerkt gevoelige informatie kunnen stelen van specifieke corporate executives tijdens buitenlandse reizen. Deze executives verbleven in luxeuze hotels, waar de cybercriminelen hun slag sloegen.

Professionele campagne
Het team van cybercriminelen gaat zeer professional te werk. Zo wordt nooit twee keer toegeslagen bij hetzelfde doelwit. Cyberaanvallen worden met chirurgische precisie uitgevoerd, waardoor de aanvallers bij het eerste contact alle aanwezige waardevolle gegevens weten te bemachtigen. Na de aanval worden alle sporen van de activiteiten gewist, waardoor de aangevallen executives geen idee heeft slachtoffer te zijn geworden van een cyberaanval.

De aanval wordt opgezet zodra het slachtoffer heeft ingecheckt bij het hotel en verbinding maakt met het WiFi-netwerk van dit hotel. De gast wordt in het hotel gevraagd in te loggen met zijn of haar kamernummer en achternaam. De aanvallers hebben het netwerk van het hotel gekraakt en kunnen nauwkeurig alle activiteiten op het netwerk monitoren. Het slachtoffer kan hierdoor eenvoudig worden opgespoord op het digitale netwerk.

Backdoor
Zodra het slachtoffer is geïdentificeerd krijgt deze legitieme software aangeboden, waarin de backdoor Darkhotel is verstopt. Deze malware zit verstopt in bijvoorbeeld Google Toolbar, Adobe Flash of Windows Messenger. Een dergelijke backdoor geeft de aanvallers toegang tot de machine van het slachtoffer en de data die hierop aanwezig is.

De backdoor wordt door de cybercriminelen misbruikt om extra kwaadaardige software op het systeem te installeren. Denk hierbij aan een keylogger, die alle toetsaanslagen op de machine vastlegt. De aanvallers kunnen hierdoor ieder woord dat wordt getypt registreren en via deze weg bijvoorbeeld inloggegevens achterhalen. Ook een speciale module die wordt gebruikt om data te stelen en de trojan ‘Karba’ werden op het systeem aangebracht. Zodra de cyberaanval met succes was afgerond werden alle gebruikte tools vakkundig verwijderd, waardoor van de aanval geen sporen waren terug te vinden.

Recente doelwitten
Tot de meest recente reizende doelwitten behoorden topbestuurders uit de VS en Azië die in de APAC-regio waren voor zaken en investeringen. Denk hierbij aan CEO's, senior vice presidents, sales- en marketingdirecteuren en top R&D-personeel. Specifieke namen worden niet door Kaspersky genoemd.

In een reactie op Darkhotel zegt Kurt Baumgartner, Principal Security Researcher bij Kaspersky Lab: "In de afgelopen jaren heeft een krachtige actor, genaamd Darkhotel, een aantal succesvolle aanvallen uitgevoerd tegen high-profile individuen, waarbij gebruik is gemaakt van methoden en technieken die veel verder gaan dan het typische gedrag van cybercriminelen. Deze dreigingsactor beschikt over operationele bekwaamheid, mathematische en crypto-analytische offensieve mogelijkheden en andere middelen die voldoende zijn om vertrouwde commerciële netwerken te misbruiken en zich met strategische precisie te richten op specifieke categorieën slachtoffers."