"Darkhotel" greift wieder an "Darkhotel" greift wieder an - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


11.08.2015 pi/Rudolf Felser

"Darkhotel" greift wieder an

Nach dem Anfang Juli 2015 bekannt gewordenen Hack der italienischen Firma Hacking Team, einem Lieferanten von Spionagesoftware für Regierungen und Strafverfolgungsbehörden, setzen nun einige Cyberspionage-Gruppen die erbeuteten Werkzeuge für ihre böswilligen Angriffe ein. Diese Exploits zielen auf Sicherheitslücken in Adobe Flash Player und Windows. Zumindest einer dieser Exploits wird von der mächtigen Darkhotel-Gruppe eingesetzt, die damit wieder verstärkt Führungskräfte zumeist in Hotels angreift.

Darkhotel ist bekannt dafür, über kompromittierte WLANs in Luxushotels hochrangige Führungskräfte anzugreifen.

Darkhotel ist bekannt dafür, über kompromittierte WLANs in Luxushotels hochrangige Führungskräfte anzugreifen.

© Kaspersky Lab

Im Jahr 2014 entdeckte Kaspersky Lab die Elite-Cyberspionage-Gruppe Darkhotel. Die Gruppe ist bekannt dafür, über kompromittierte WLANs in Luxushotels hochrangige Führungskräfte anzugreifen. Unmittelbar nach dem Einbruch bei Hacking Team am 5. Juli 2015, setzten die Akteure hinter Darkhotel eine Zero-Day-Schwachstelle aus dem Bestand von Hacking Team ein. Es sei nicht bekannt, dass Darkhotel ein Kunde bei Hacking Team wäre, schreibt Kaspersky Lab. Daher dürfte sich die Gruppe die Dateien beschafft haben, sobald diese öffentlich verfügbar wurden.

Es ist nicht das erste Mal, dass Darkhotel Zero-Day-Sicherheitslücken nutzt. Kaspersky Lab nimmt an, dass die Cyberspionage-Gruppe in den vergangenen Jahren ein gutes halbes Dutzend Zero-Day-Exploits eingesetzt hat, die vor allem auf Adobe Flash Player zielten. Zur Beschaffung hat Darkhotel offenbar beträchtliche Summen investiert. Mit der aktuellen Angriffswelle im Jahr 2015 erweiterte Darkhotel seinen Aktionsradius rund um die Welt, wobei gezielte Spearphishing-Attacken auf Opfer aus Deutschland sowie Nord- und Südkorea, Russland, Japan, Bangladesch, Thailand, Indien und Mozambique ausgeführt wurden.

UNFREIWILLIGE HILFE

Die auf APT-Attacken (Advanced Persistent Threats) spezialisierte Darkhotel-Gruppe ist schon seit knapp acht Jahren aktiv. Zu ihren Methoden zählt der Einsatz von Social Engineering-Techniken, gestohlenen Sicherheitszertifikaten und die Kompromittierung von WLAN-Netzen in Hotels. Neu ist jetzt die Verwendung von Zero-Day-Exploits aus dem Bestand von Hacking Team. Hier ein Überblick über die Methoden von Darkhotel:

  • Die Gruppe setzt weiterhin gestohlene Zertifikate aus seinem Bestand ein. Sie werden für die Downloader und Backdoor-Trojaner benutzt, um das angegriffene System zu täuschen. Die jüngst verwendeten Zertifikate stammen von der Firma Xuchang Hongguang Technology Co. Ltd.
  • Unermüdliches Spearphishing: die APT-Angriffe von Darkhotel erfolgen im Abstand von mehreren Monaten immer wieder beim gleichen Ziel, unter Einsatz derselben Social-Engineering-Schemata.
  • Einsatz eines Zero-Day-Exploits: die kompromittierte Webseite "tisone360.com" enthält die ein ganzes Arsenal von Backdoor-Trojanern und Exploits, darunter auch den Zero-Day-Exploit von Hacking Team.


"Darkhotel ist mit einem weiteren Exploit für Adobe Flash Player zurück, und dieses Mal steht der Exploit anscheinend in Zusammenhang mit dem Leck bei Hacking Team", erklärt Kurt Baumgartner, Principal Security Researcher bei Kaspersky Lab. "Die Gruppe hat zuvor schon einen Flash-Exploit auf der kompromittierten Website deponiert, welchen wir bereits im Januar 2014 als Zero-Day an Adobe meldeten. Darkhotel hat reihenweise Zero-Days und aktuelle Exploits von Flash verbraucht. Vermutlich hat die Gruppe noch einige Exploits zum Einsatz gegen hochrangige Personen weltweit auf Lager. Aus früheren Angriffen wissen wir, dass Darkhotel CEOs, Vorstandsmitglieder sowie leitende Angestellte im Bereich Marketing, Vertrieb und Entwicklung im Visier hat."

Seit dem vergagenen Jahr hat Darkhotel zusätzlich an seinen Verteidigungstechniken gearbeitet, und zum Beispiel seine Checkliste der Anti-Viren-Software erweitert. Der Darkhotel Downloader kann die Anti-Viren-Technologien von 27 Sicherheitsanbietern identifizieren, mit der Intention, sich vor ihnen zu verbergen.

Eine ausführliche Analyse der neuerlichen Darkhotel-Angriffe hat Kaspersky Lab auf seinem Blog veröffentlicht. (pi/rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
  • T-Systems Austria GesmbH

    T-Systems Austria GesmbH WLAN-Systeme, VPN, Voice Mail Dienste, Videokonferenz-Systeme, Unified Messaging Dienste, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management,... mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr
  • SER Solutions Österreich GmbH

    SER Solutions Österreich GmbH Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr

Hosted by:    Security Monitoring by: