Angriff im Hotel-Netz

Unter dem Namen Darkhotel berichtet Kaspersky über eine Gruppe von Angreifern mit einer ungewöhnlichen Vorgehensweise: Sie attackieren ihre Opfer auf Auslandsreisen im Netz des Hotels.

In Pocket speichern vorlesen Druckansicht 107 Kommentare lesen
Angriff im Hotel-Netz

(Bild: Kaspersky)

Lesezeit: 2 Min.

Die angeblichen Updates trugen eine gültige digitale Signatur.

(Bild: Kaspersky Labs)

Darkhotel nennt Kaspersky Angreifer, die ihre Attacken in Hotelnetzen fahren. Ziel der Darkhotel-Angriffe waren vor allem Geschäftsführer, Marketing-Direktoren und andere Geschäftsreisende aus dem Management-Bereich. Die Angriffe erfolgten, wenn sich die jeweilige Zielperson in das WLAN des Hotels einbuchte. Dabei wurde ihr dann beispielsweise ein angebliches Update für Software wie den Adobe Reader untergeschoben. Das installierte dann Spionage-Software auf dem Notebook, berichten die Antiviren-Experten von Kaspersky. Alternativ kamen auch Zero-Day-Exploits zum Einsatz.

Die Darkhotel-Gruppe wusste offenbar schon vorher recht genau über die Reisepläne ihrer Opfer Bescheid, brach in die Hotelnetze ein und platzierte etwa ein iFrame auf der Login-Seite des Hotel-WLANs. Die Angriffe richteteten sich dann auch nur gegen die jeweilige Zielperson; so konnten die Kaspersky-Forscher keine Angriffe auf ihr extra mitgebrachtes Honeypot-System provozieren. Nach erfolgreichen Attacken löschten die Angreifer die Exploits und alle Spuren ihres Einbruchs.

Die weitaus meisten Angriffe erfolgten in japan; aber auch in Deutschland registrierte Kaspersky Darkhotel-Aktivitäten.

(Bild: Kaspersky Labs)

Interessant ist, dass die verwendeten Hintertür-Programme in der Regel digital signiert waren. Auffällig bei vielen der dazu verwendeten Zertifikate waren deren schwache 512-Bit-RSA-Schlüssel. Kaspersky geht davon aus, dass die Angreifer den zugehörigen geheimen Schlüssel errechnet haben, was auf gutes Krypto-Knowhow der Gruppe hinweist. In neueren Fällen kamen Zertifikate mit längeren Schlüsseln zum Einsatz, die wahrscheinlich den rechtmäßigen Besitzern gestohlen wurden, um sie für das Code-Signing der Malware zu missbrauchen.

Zur gefundenen Malware gehörten spezielle Keylogger, die im Hintergrund heimlich Tastatureingaben belauschten. Zum Repertoire gehören aber auch kleine Tools, die unter anderem in Internet Explorer, Firefox und Chrome gespeicherte Passwörter klauen und auf die Darkhotel-Kontroll-Server hochladen.

Den Schwerpunkt der Angriffe verortet Kaspersky im pazifischen Raum und dort vor allem in Japan. Die Spuren zu Aktivitäten der Darkhotel-Gruppe reichen bis etwa 2007 zurück; sie sei immer noch aktiv. Wer hinter den Angriffen steht, lässt Kasperskys Ananlyse offen. (ju)