一個(gè)存在長(zhǎng)達(dá)七年的網(wǎng)絡(luò)間諜組織正把攻擊目標(biāo)鎖定在全球大型企業(yè)的高管身上。他們通過(guò)高級(jí)持續(xù)性威脅(APT)攻擊，利用0day漏洞利用程序和鍵盤記錄器，從這些企業(yè)高管商業(yè)訪問(wèn)時(shí)所住豪華酒店的網(wǎng)絡(luò)中竊取信息。

[[122673]]

卡巴斯基實(shí)驗(yàn)室(Kaspersky Lab)的安全研究員把這一威脅命名為“DarkHotel APT”，DarkHotel APT組織的攻擊者有能力提前知曉攻擊目標(biāo)(企業(yè)高管)的酒店入住時(shí)間以及退房時(shí)間。

該組織從2009年就開始在亞洲實(shí)施攻擊了，同時(shí)在美國(guó)、德國(guó)、愛爾蘭等其他國(guó)家也出現(xiàn)過(guò)該組織的入侵事件記錄。他們主要是利用酒店的無(wú)線網(wǎng)絡(luò)有針對(duì)性的瞄準(zhǔn)生產(chǎn)制造、國(guó)防、投資資本、私人股權(quán)投資、汽車等行業(yè)的精英管理者。

攻擊方式

據(jù)卡巴斯基實(shí)驗(yàn)室的研究報(bào)告，該組織是使用0day漏洞和漏洞利用程序去攻擊受害者的。攻擊者會(huì)使用三種不同的惡意軟件分布方法：惡意無(wú)線網(wǎng)絡(luò)、P2P種子陷阱、特制的高級(jí)魚叉式網(wǎng)絡(luò)釣魚。

當(dāng)目標(biāo)高管把它們的設(shè)備連接到酒店的無(wú)線或者有線時(shí)，他們的設(shè)備上就會(huì)出現(xiàn)偽造的軟件更新提醒，如Adobe Flash，Google Toolbar，WindowsMessenger等軟件的更新提示。而這些提示更新的軟件均被植入了一個(gè)叫做木馬滴管(trojan dropper)的惡意軟件。

木馬滴管里安裝了多種鍵盤記錄器和跟蹤程序，它們可以追蹤到受害者敲擊鍵盤的記錄和瀏覽網(wǎng)頁(yè)時(shí)保存的密碼、商業(yè)機(jī)密和其他隱私信息，然后將這些竊取的資料上傳給Darkhotel組織。

DarkHotel惡意軟件有能力去分解一個(gè)克隆證書所生成的密鑰，制造一個(gè)可信任的證書。而攻擊者分解并利用弱密鑰的示例已經(jīng)不新鮮了，早在2011年Fox-IT，Microsoft，Mozilla和Entrust就已經(jīng)發(fā)出過(guò)警告。DarkHotel組織在近期竊取了第三方證書來(lái)簽名他們的惡意程序。

簡(jiǎn)單粗暴的安全建議

如果你是企業(yè)高管或關(guān)鍵人物，為了不讓攻擊者竊取到你的機(jī)密隱私信息，最簡(jiǎn)單的方法就是不要直接連接酒店的無(wú)線網(wǎng)絡(luò)和任何其他不受信任的網(wǎng)絡(luò)，盡量使用手機(jī)移動(dòng)數(shù)據(jù)流量上網(wǎng)。

參考信息來(lái)源：http://thehackernews.com