Tipo di virus: malware, advanced persistent threat (APT)
Il Team Ricerca Globale e Analisi di Kaspersky Lab ha analizzato il più recente virus informatico, denominato "Darkhotel". La minaccia Darkhotel sembra essere una combinazione tra lo spear phishing e un pericoloso malware progettato per acquisire informazioni riservate.
I cybercriminali che si nascondono dietro Darkhotel sono attivi da quasi un decennio e hanno preso di mira migliaia di vittime in tutto il mondo. Il 90% delle infezioni Darkhotel si è verificata in Giappone, Taiwan, Cina, Russia e Corea, ma ve ne sono state alcune anche in Germania, Stati Uniti, Indonesia, India e Irlanda.
Si tratta di una campagna insolita, poiché si serve di diverse modalità di obiettivi nocivi.
Da un lato utilizza e-mail di spear phishing per infiltrarsi nelle basi industriali per la difesa (DIB), nei governi, nelle ONG, nei grandi produttori di elettronica e periferiche, nelle aziende farmaceutiche, nel personale medico, nelle organizzazioni militari e nei nuclei responsabili della politica energetica. Questi attacchi seguono il procedimento dello spear phishing tipico, attraverso impianti Darkhotel scrupolosamente mascherati. Tra i contenuti più utilizzati in queste e-mail troviamo spesso argomenti quali energia nucleare e armamenti. Negli ultimi anni, le e-mail di spare phishing contenevano in allegato exploit zero day di Adobe oppure link che reindirizzavano i browser delle vittime a exploit zero day di Internet Explorer. Il loro obiettivo è quello di rubare i dati di queste organizzazioni.
Dall'altro lato, gli hacker diffondono il malware indiscriminatamente attraverso siti di condivisione di file P2P (peer-to-peer) giapponesi. Il malware viene distribuito come parte di un ampio archivio RAR, il quale finge di offrire contenuti sessuali, ma che invece installa un Trojan backdoor che raccoglie le informazioni riservate della vittima.
Utilizzando un approccio che si pone a metà strada tra i due sopra descritti, gli hacker attaccano dirigenti ignari che viaggiano oltreoceano e soggiornano in un hotel. Qui le vittime vengono infettate da un raro Trojan, il quale si finge in apparenza uno dei software più importanti in distribuzione, tra cui Google Toolbar, Adobe Flash e Windows Messenger. In una prima fase l'infezione viene utilizzata per valutare le vittime e scaricare un ulteriore malware sui computer di vittime ancor più importanti, progettato per rubare informazioni riservate.
Sulla base di una stringa interna al codice nocivo, sembra che questa minaccia provenga da un hacker coreano, da cui l'infezione ha avuto origine.
Nonostante le tecniche sofisticate utilizzate negli attacchi mirati, gli hacker cominciano con l'indurre singoli lavoratori ad assumere comportamenti per mettere in pericolo la sicurezza aziendale. Chi lavora a contatto con il pubblico (alti dirigenti, personale di vendita e marketing) è particolarmente vulnerabile, perché si tratta di categorie spesso in viaggio, dunque soggette all'utilizzo di reti inaffidabili (per esempio, quelle degli hotel) per permettere la connessione a una rete aziendale.
Sebbene una protezione totale sia alquanto difficoltosa, di seguito sono riportati alcuni suggerimenti su come proteggersi mentre si è in viaggio.