Darkhotel : Piratage dans les hôtels de luxe, les PDG visés

3
145

Selon un rapport de la société Kaspersky Lab, la campagne de piratage baptisée Darkhotel « est tapie dans l’ombre depuis au moins quatre ans, volant des données sensibles à un certain nombre de dirigeants d’entreprise voyageant à l’étranger».

La société russe de sécurité informatique a indiqué qu’environ 90% des piratages semblent être localisés au Japon, à Taïwan, en Chine, en Russie et en Corée du Sud, mais que les dirigeants pris pour cible arrivent des Etats-Unis et d’autres pays.

«Des milliers de piratages ont eu lieu », a précisé le rapport. « Les cibles les plus intéressantes incluent de hauts dirigeants des Etats-Unis et d’Asie qui font des affaires et des investissements dans la région Asie-Pacifique. »

Espionnage industriel de grande envergure

Les pirates pénètrent dans les réseaux wifi des hôtels, puis dupent les dirigeants en leur faisant installer des logiciels malveillants permettant d’accéder à distance à leurs données.

« Ces outils collectent des données sur l’ordinateur et sa protection anti-logiciel malveillant, conservent toutes les saisies du clavier et cherchent les mots de passe dans Firefox, Chrome et Internet Explorer; les détails de connexion pour Gmail Notifier, Twitter, Facebook, Yahoo! et Google; et d’autres informations privées ».

Les cibles incluent notamment de hauts dirigeants d’entreprise, des directeurs de marketing et des ventes et des chercheurs de haut niveau travaillant dans des entreprises d’électroniques, dans les équipements militaires, la finance, l’automobile et la pharmacie. Des responsables de services de police, de l’armée et d’organisations non gouvernementales ont également été visés.

Le volume d’activité le plus important sur les réseaux des hôtels remonte à août 2010 et s’est poursuivi tout au long de 2013, « et nous sommes en train d’enquêter sur des événements sur certains réseaux d’hôtel en 2014 », a souligné Kaspersky, appelant notamment les voyageurs à faire preuve d’un surcroît de prudence en matière de mises à jour lorsqu’ils sont à l’étranger.

Le communiqué Kaspersky

L’équipe des experts d’analyse et de recherche mondiale de Kaspersky Lab ont enquêté sur la campagne d’espionnage « Darkhotels », qui rôde dans l’ombre depuis au moins quatre ans, tout en volant les données sensibles de dirigeants d’entreprises sélectionnés voyageant à l’étranger. « Darkhotels » frappe ses objectifs alors qu’ils séjournent dans des hôtels de luxe. La nouvelle équipe n’attaque jamais la même cible deux fois ; ils effectuent des opérations avec une précision chirurgicale, collectant toutes les données précieuses qu’ils peuvent obtenir dès le premier contact, supprimant les traces de leur travail et se fondant dans la clandestinité en attendant le prochain profil individuel prestigieux. Les objectifs les plus récents en déplacement incluent des cadres supérieurs des États-Unis et d’Asie en affaires et investissant dans la région Asie-Pacifique : des PDG, des directeurs généraux délégués, des directeurs commerciaux et des directeurs marketing et des personnels R&D de haut niveau ont été visés. Qui sera le prochain ? Cette menace est toujours active, avertit Kasperksy Lab.

Comment l’attaque de l’hôtel fonctionne-t-elle ?

L’acteur Darkhotel entretient un ensemble efficace d’intrusion sur les réseaux de l’hôtel, offrant un grand accès au cours des années, et ce même sur des systèmes que l’on croyait être privés et sécurisés. Ils attendent que la victime, après s’être inscrite à l’hôtel, se connecte au réseau Wi-Fi de l’hôtel, indiquant ainsi son numéro de chambre et son nom. Les attaquants le voient dans le réseau compromis et le trompent en téléchargeant et en installant une porte dérobée qui serait une prétendue mise à jour du logiciel légitime comme la barre d’outils Google, Adobe Flash ou Windows Messenger. Le directeur, sans méfiance, télécharge ce « paquet de bienvenue » de l’hôtel, uniquement là pour infecter sa machine avec une porte dérobée, le logiciel d’espionnage de Darkhotel.

Une fois sur un système, la porte dérobée a été et peut être utilisée pour télécharger des outils de vol plus avancés : un keylogger avancé signé numériquement, le cheval de Troie « Karba » et un module de vol d’informations. Ces outils collectent des données sur le système et le logiciel anti-malware installé sur celui-ci, volent toutes les séquences de frappes, et chassent les mots de passe cachés dans Firefox, Chrome et Internet Explorer, les identifiants de connexion de Gmail Notifier, Twitter, Facebook, Yahoo! et Google et d’autres informations privées. Les victimes perdent des informations sensibles – probablement la propriété intellectuelle des entités d’affaires qu’ils représentent. Après l’opération, les attaquants suppriment soigneusement leurs outils du réseau de l’hôtel et retournent dans la clandestinité.

A propos de Darkhotel, Kurt Baumgartner, chercheur principal de sécurité de Kaspersky Lab, a déclaré : « Ces dernières années, un acteur puissant, nommé Darkhotel, a effectué un certain nombre d’attaques réussies contre des personnalités de haut niveau, en utilisant des méthodes et des techniques qui vont bien au-delà du comportement typique cybercriminel. Cet acteur a des compétences opérationnelles, des capacités offensives mathématiques et de crypto-analyse, et d’autres ressources qui sont suffisantes pour permettre d’abuser les réseaux commerciaux fiables et cibler des catégories spécifiques de victimes avec une précision stratégique. »

Cependant, l’activité malveillante de Darkhotel peut être incohérente : il est aveugle dans sa propagation de logiciels malveillants en plus de ses attaques très ciblées :

« Le mélange des attaques ciblées et menées sans discrimination devient de plus en plus fréquent sur la scène APT où ces attaques ciblées sont utilisées pour compromettre des victimes au profil prestigieux, et les opérations façon botnet sont utilisées pour la surveillance de masse ou pour effectuer d’autres tâches telles que des attaques hostiles DDoS ou pour simplement mettre à niveau des outils d’espionnage plus sophistiqués sur des victimes intéressantes. », a ajouté Kurt Baumgartner.

Comment déjouer les ruses de Darkhotel

Lorsque vous voyagez, n’importe quel réseau, même les réseaux semi-privés dans les hôtels, doivent être considérés comme potentiellement dangereux. Le cas de Darkhotel illustre un vecteur d’attaque en évolution : les personnes qui possèdent des informations précieuses peuvent facilement être victimes de Darkhotel lui-même, car il est toujours actif, ou à quelque chose de similaire à une attaque de Darkhotel. Pour éviter cela, Kaspersky Lab a les conseils suivants :

  • Choisissez un fournisseur de réseau privé virtuel (VPN) – vous obtiendrez un canal de communication chiffré lors de votre accès sur le Wi-Fi public ou semi-public ;
  • Lorsque vous voyagez, considérez toujours les mises à jour de logicielles comme suspectes. Assurez-vous que la mise à jour d’installation proposée est signée par le fournisseur approprié.
  • Assurez-vous que votre solution de sécurité Internet comprend des défenses proactives contre les nouvelles menaces plutôt qu’une seule protection de base antivirus.

Les attaquants ont laissé une empreinte dans une chaîne à l’intérieur de leur code malveillant indiquant un acteur parlant le coréen et Kaspersky Lab travaille actuellement avec les organisations concernées pour veiller à atténuer le problème.

Les commentaires sont fermés.