Nhóm gián điệp Darkhotel tiếp tục tấn công

Một nhóm tội phạm mạng hoạt động dựa trên mạng lưới khách sạn bị xâm nhập để đạt được mục tiêu có giá trị cao từ các ngành công nghiệp khác nhau và tập trung khai thác những người quản lý, giám đốc, hoạt động bắt đầu từ năm 2010.

Nhóm gián điệp Darkhotel duy trì điều hành tại các địa điểm sang trọng

Được mệnh danh là Darkhotel, nhóm gián điệp có nguồn lực tốt để hoàn thành nhiệm vụ, các nhà nghiên cứu tại Kaspersky tìm thấy họ đã sử dụng các bộ khai thác zero-day (cho Internet Explorer và các sản phẩm Adobe) trong các cuộc tấn công của mình.

Các chuyên gia bảo mật quan sát thấy nạn nhân bao gồm các CEO, phó chủ tịch, giám đốc bán hàng và tiếp thị và nhân viên hàng đầu trong nghiên cứu và phát triển từ các công ty kinh doanh hoặc nhập khẩu sản phẩm để bán lại trong khu vực châu Á – Thái Bình Dương (APAC).

Họ kết nối với các ngành công nghiệp như sản xuất thiết bị điện tử, dược phẩm, vốn đầu tư và vốn chủ sở hữu tư nhân, ô tô, cơ sở công nghiệp quốc phòng, cũng như các NGO khác.

Tội phạm Darkhotel, còn được gọi là Tapaoux, lựa chọn các nạn nhân một cách kỹ lưỡng và hoạt động bằng cách phát tán phần mềm độc hại đội lốt cập nhật cho các phần mềm lớn thông qua iframe độc hại lây nhiễm trong những cổng thông tin trên web của khách sạn bị nhắm mục tiêu.

“Nhóm tấn công dường như biết trước khi những cá nhân này sẽ đến và khởi hành từ các khách sạn cao cấp của họ. Vì vậy, những kẻ tấn công nằm phục chờ đợi cho đến khi những du khách đến và kết nối với Internet”. Sau khi nạn nhân làm thủ tục trả phòng khách sạn, tất cả dấu vết của các công cụ được sử dụng trong vụ việc được loại bỏ, do đó kẻ tội phạm không bị phát giác.

Các quan sát cho thấy các công cụ thường xuyên được sử dụng đều tiên tiến. Crimware đưa ra thông tin rằng nhóm này sử dụng bao gồm các phần mềm downloaders, infostealers, Trojans và chương trình cài đặt phần mềm độc hại. Chúng được phát hiện với tên gọi Tapaoux, Pioneer, Karba và Nemim.

Trái ngược với các kỹ năng thuần thục của kẻ tấn công và công cụ được sử dụng, nhóm tội phạm này dường như nhắm vào một cơ sở hạ tầng với “cấu hình máy chủ yếu kém với giám sát và phản ứng phòng thủ hạn chế và mắc một số sai lầm đơn giản”.

Xác định quốc tịch của các nạn nhân, các chuyên gia bảo mật xác định rằng hầu hết trong số họ đến từ Nhật Bản, Đài Loan, Trung Quốc, Nga, Hàn Quốc và Hồng Kông. Tuy nhiên, có một số trường hợp ghi nhận ở Nga, Hoa Kỳ, Đức, Ireland và Ấn Độ.

Softpedia

Bình luận

Từ khóa: