{"id":5205,"date":"2014-11-10T15:16:33","date_gmt":"2014-11-10T15:16:33","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=5205"},"modified":"2020-02-26T17:27:14","modified_gmt":"2020-02-26T15:27:14","slug":"darkhotel-apt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/darkhotel-apt\/5205\/","title":{"rendered":"Darkhotel: la campagna di spionaggio che si annida negli hotel di lusso"},"content":{"rendered":"

Lo cyber-spionaggio \u00e8 la forma di attacco del XXI secolo. Se al giorno d\u2019oggi, quasi con qualsiasi app mobile, \u00e8 possibile rubare file segreti<\/a> ad un utente poco attento, \u00e8 facile immaginarsi quello che si pu\u00f2 ottenere con campagne di sorveglianza mirate, disegnate specificatamente per colpire importanti personalit\u00e0 aziendali e del governo.<\/p>\n

Proprio a questo proposito l\u2019autunno ha portato con s\u00e9 qualche novit\u00e0: Kaspersky Lab ha scoperto una nuova APT. Si tratta di una \u201crete-spia\u201d battezzata con il nome di \u201cDarkhotel\u201d che si annidierebbe da diversi anni all\u2019interno della rete wireless di numerosi hotel di lusso asiatici. Questa grande operazione coinvolge spie e professionisti del settore, dando vita ad un sistema che contempla varie metodologie di attacco per penetrare nel computer della vittima.<\/p>\n

Le prime menzioni dell\u2019FBI che parlano di questo attacco che colpisce i clienti degli hotel in questione risalgono al 2012. Ciononostante il malware usato nella campagna Darkhotel (conosciuta anche come Tapaoux) \u00e8 apparso per la prima volta nel 2007. Dopo aver studiato i registri dei server C&C, usati per gestire la campagna, i ricercatori di sicurezza hanno scoperto connessioni risalenti al 1 gennaio del 2009. A quanto pare, quindi, la campagna \u00e8 attiva da molti anni.<\/p>\n

<\/p>

Para che la campagna #APT #Darkhotel sia attiva da anni<\/p>Tweet<\/a><\/blockquote>
\n<\/strong>\n

L\u2019attacco si fa strada nei computer delle vittime principalmente attraverso la rete Wi-Fi degli hotel in questione. I cybercrimiali hanno utilizzato degli exploit zero-day presenti in Adobe Flash e altri prodotti popolari appartenente a rinomati vendor. Tali vulnerabilit\u00e0 non sono facili da trovare perci\u00f2 i casi sono due: o dietro questa operazione ci sono ricchi sponsor che possono permettersi di acquistare costose armi cibernetiche <\/a>o i criminali coinvolti in questa campagna sono incredibilmente abili. Probabilmente entrambi i casi sono corretti.<\/p>\n

\"\"<\/strong><\/p>\n

Lo spyware, come abbiamo menzionato poco prima, \u00e8 il metodo il pi\u00f9 utilizzato, se non l\u2019unico, per gestire l\u2019operazione. L\u2019alternativa sarebbe ricorrere ad un Trojan e distribuirlo attraverso un client torrent, parte di una cartella compromessa di un fumetto cinese.<\/p>\n

Inoltre, le \u201ccyber-spie\u201d hanno usano tecniche di phishing mirato, inviando e-mail compromesse a impiegati statali e organizzazioni non-profit.<\/p>\n

I criminali hanno usato un keylogger molto sofisticato. Lo spyware, inoltre, utilizzava un modulo integrato capace di rubare le password salvate dal browser pi\u00f9 popolari.<\/div>\n

I criminali erano ben consapevoli di quello che facevano e ci\u00f2 non \u00e8 solo dimostrato dall\u2019uso delle vulnerabilit\u00e0 zero-days. Sono persino stati in grado di contraffare anche i certificati digitali usati per il loro malware. Per spiare i canali di comunicazione delle proprie vittime, i criminali hanno usato un keylogger molto sofisticato. Lo spyware, inoltre, utilizzava un modulo integrato capace di rubare le password salvate dal browser pi\u00f9 popolari.<\/p>\n

Curiosamente i criminali sono stati estremamente cauti e hanno messo a punto numerose misure per prevenire il rilevamento del malware. In primo luogo, si sono assicurati che il virus abbia un lungo periodo di incubazione: la prima volta che il Trojan si \u00e8 connesso ai server C&C \u00e8 stato 180 giorni dopo essersi infiltrato nei sistemi. In secondo luogo, il programma spyware era dotato di un protocollo di auto-distruzione nel caso la lingua del sistema venisse cambiata al coreano.<\/p>\n

I criminali operavano principalmente in Giappone, e in minor misura in Taiwan e Cina. Comunque sia, Kaspersky Lab \u00e8 riuscito a individuare attacchi anche in altri paesi, tra cui paesi molto lontani da quelli inizialmente legati ai criminali.<\/p>\n