Hakerzy z grupy APT28 najpierw przeprowadzili w lipcu br. phishingowy atak na branżę hotelarską. Spreparowany mailing zawierający zainfekowany dokument Worda symulujący formularz rezerwacji trafił do hoteli w co najmniej siedmiu krajach Europy, a także do placówek hotelarskich na Bliskim Wschodzie. Uruchomienie załącznika – dokumentu Worda – powoduje rozruch makropolecenia zawierające ukryty złośliwy kod.
Malware “zaszyty” w fałszywym dokumencie rezerwacyjnym infiltruje wewnętrzną sieć hotelową i robi to na tyle skutecznie, że cyberprzestępcy mają kontrolę zarówno nad bezprzewodową siecią dla gości, jak i siecią wewnętrzną danego hotelu. Po przejęciu kontroli nad maszyną w wewnętrznej sieci hotelu hakerzy używają narzędzia o nazwie Responder w celu przejęcia kontroli nad innymi jednostkami danej sieci, a także w celu wykradzenia danych uwierzytelniających z komputerów gości. W celu rozprzestrzenienia się po sieci hotelowej APT28 wykorzystali wersję wykradzionego z NSA exploita EternalBlue SMB – tego samego, który był użyty do przeprowadzenia ataku ransomware Petya / Not Petya.
Oznacza to, że APT28 stosuje najprawdopodobniej nowy wektor infekcji, niewykorzystywany wcześniej przez cyberprzestępców próbujących wykradać poufne dane gości hotelowych. Specjaliści z FireEye kończą swój wpis ostrzeżeniem skierowanym do podróżnych. Powinni oni być świadomi potencjalnych zagrożeń i podjąć dodatkowe środki ostrożności w celu zabezpieczenia ich systemów i danych. Najlepiej w ogóle nie korzystać z publicznych sieci Wi-Fi, które stanowią poważne zagrożenie. | CHIP