Nosił wilk razy kilka... ponieśli i wilka. Dla stałych czytelników Antyweba nowością nie będzie fakt, iż NSA dysponowało ekskluzywnymi dla siebie narzędziami do podsłuchiwania użytkowników. Traf jednak chciał, że owe mechanizmy wykradziono i teraz służą hakerom do atakowania zwykłych użytkowników oraz firm.
Tym razem padło na hotele. To nie pierwszy raz, gdy goście pokoi hotelowych padają ofiarami ataków cyberprzestępców. Z reguły, tego typu metody dostępu do internetu nie są dobrze zabezpieczone przed penetracją z zewnątrz, a i wiele można zarzucić ich użytkownikom, którzy bezrefleksyjnie klikają we wszystko, co jest im podsuwane. Jak się okazuje, celem rosyjskiej grupy APT28 okazały się głównie "te lepsze" hotele w Środkowym Wschodzie oraz w Europie.
Jak podaje Zaufana Trzecia Strona, firma FireEye przygotowała raport, wedle którego wspomniana wyżej grupa zajmuje się atakowaniem hotelowych sieci WiFi celem wykradzenia danych od ich użytkowników. I właściwie tutaj zaczyna się zabawa - wektorem ataku jest niebezpieczny plik .doc, w którym mają zawierać się dane na temat rzekomej rezerwacji. W rzeczywistości, dokument zawiera w sobie makro, które instaluje backdoora GAMEFISH. Co ciekawe, cyberprzestępcy korzystają z exploita EternalBlue autorstwa NSA. Jak wiecie, narzędzia szpiegowskie zostały agencji wykradzione, co spowodowało potem rozprzestrzenienie się nowych technik uzyskiwania kontroli nad podatnymi maszynami. Co ważne, z tego typu mechanizmów korzystały również szalejące niedawno po sieci ransomware.
Wróćmy jednak do sprawy APT28. Po uzyskaniu dostępu do hotelowej sieci WiFi, uruchamiano narzędzie Responder, które służy do podsłuchu komunikacji systemu Windows. Okazuje się, że za pomocą sprytnej "podmiany", wedle której zagrożenie udaje znajomy systemowi sprzęt, może uzyskać dane logowania (login oraz hash hasła). Wystarczy już wtedy tylko odkodować hash i... voila. W bardzo niesprzyjających dla nas okolicznościach możemy stracić sporo nerwów, ważne dane, a nawet pieniądze. Uzyskane w ten sposób informacje mogą posłużyć do spenetrowania naszych prywatnych zasobów, co w rękach wprawnego cyberprzestępcy może spowodować przeogromne szkody.
Trudno jest wskazać jednoznacznie dobrą metodę obrony przed takimi atakami. Najsensowniejszym wyjściem jest korzystanie z własnych hotspotów WiFi w trakcie wizytowania hoteli. Warto jednak powiedzieć nieco o tym, co mogą zrobić hotele. Ponownie, w takich sytuacjach winne jest "najsłabsze ogniwo", czyli człowiek. Jeżeli w komputerze podłączonym do sieci hotelowej zostanie otworzony złośliwy załącznik - właściwie każdy użytkownik takiej sieci może być zagrożony. O podstawowych zasadach bezpieczeństwa w trakcie otwierania załączników powinni pamiętać przede wszystkim ci, którzy czuwają nad odpowiednim poziomem bezpieczeństwa hotelowych punktów dostępowych.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
