Darkhotel: Spionagekampagne in asiatischen Luxushotels

10 Nov 2014

Cyberspionage ist die Waffe des 21. Jahrhunderts. Sogar eine anscheinend harmlose mobile App kann einige Geheimnisse über sorglose Anwender herausfinden, und eine Überwachungskampagne, die auf Mitarbeiter großer Konzerne oder Regierungsbeamte abzielt, kann das noch viel besser.

DH

Die Enthüllung dieses Herbsts ist die Entdeckung eines Spionagenetzwerks durch Kaspersky Lab, das den Namen „Darkhotel“ erhielt. Die Kampagne ist seit sieben Jahren in zahlreichen asiatischen Luxushotels aktiv. Die professionellen Spione, die an dieser langjährigen Aktion arbeiten, erstellten einen umfassenden Werkzeugkasten mit verschiedenen Möglichkeiten und Methoden, in die Computer der Opfer einzubrechen.

Die ersten Berichte des FBI, in denen vor Angriffen auf die Gäste der betroffenen Hotels gewarnt wird, wurden im Jahr 2012 veröffentlicht. Die bei Darkhotel (auch bekannt als Tapaoux) verwendeten Schadprogramme tauchten schon seit dem Jahr 2007 immer wieder auf. Sicherheitsforscher haben die Log-Dateien der für die Kampagne verwendeten C&C-Server ausgewertet und Verbindungen entdeckt, die bis zum 1. Januar 2009 zurückreichen. Wenn man all das bedenkt, scheint die Spionagekampagne schon einige Zeit aktiv zu sein.

Die Hauptmethode, mit der die Opfer-PCs infiltriert wurden, lief über die WLAN-Verbindung in zahlreichen asiatischen Luxushotels. Die Cyberkriminellen verwendeten Zero-Day-Exploits in Adobe Flash und anderen beliebten Programmen bekannter Hersteller. Solche Sicherheitslücken sind nicht einfach zu finden, was zeigt, dass entweder reiche Sponsoren, die es sich leisten können, eine teure Cyberwaffe zu kaufen, hinter der Kampagne stecken oder sehr professionelle und gut ausgebildete Agenten daran beteiligt sind. Wahrscheinlich beides.

DH2

Die genannte Methode, Computer mit Spyware zu infizieren, wurde am häufigsten verwendet, war aber nicht die einzige Möglichkeit, was darauf hindeutet, dass die Cyberkriminellen Angestellte der Hotels waren. Eine alternative Möglichkeit war die Verteilung eines Trojaners über Torrent-Clients als Teil chinesischer Erotik-Comics.

Zudem nutzten die Cyberspione zielgerichtetes Phishing und schickten schädliche E-Mails an Angestellte von Regierungen und gemeinnützigen Organisationen.

Die Kriminellen verwendeten einen hochentwickelten Keylogger. Die verwendete Spyware enthielt ein Modul für den Diebstahl von Passwörtern, die in populären Browsern gespeichert sind.

Abgesehen von der Verwendung von Zero-Day-Sicherheitslücken spricht vieles für die hohe Professionalität der beteiligten Cyberkriminellen. Sie haben es sogar geschafft, digitale Sicherheitszertifikate für ihre Schadprogramme zu fälschen. Um die Kommunikation der Opfer abzuhören, verwendeten die Kriminellen einen hochentwickelten Keylogger. Die verwendete Spyware enthielt ein Modul für den Diebstahl von Passwörtern, die in populären Browsern gespeichert sind.

Interessanterweise waren die Täter extrem vorsichtig und haben verschiedene Maßnahmen ergriffen, die Entdeckung des Schadprogramms zu verhindern. Dafür stellten Sie sicher, dass der Virus eine sehr lange „Inkubationszeit“ hat: Der Trojaner verband sich erst 180 Tage, nachdem er ein Gerät infiziert hatte, mit den C&C-Servern. Zudem enthielt die Spyware ein Selbstzerstörungsprotokoll, das startet wenn die Sprache des Computers auf Koreanisch geändert wird.

DH3

Die Kriminellen haben vor allem in Japan gearbeitet, aber auch in Taiwan und China. Die Kaspersky-Experten haben jedoch auch Angriffe in anderen Ländern entdeckt, manche davon weit entfernt von den ursprünglich für die Täter interessanten Gebieten.

Kurt Baumgartner, Principal Security Researcher bei Kaspersky Lab, sagt zu Darkhotel: „Über die letzten Jahre hat ein starker Spieler namens Darkhotel eine Reihe erfolgreicher Angriffe auf wichtige Personen durchgeführt. Dabei nutzten die Täter Methoden und Technologien die weit über jene typischer Cyberkrimineller hinausgehen. Die Täter besitzen operative Kompetenz, mathematische und krypto-analytische Fähigkeiten und weitere Ressourcen, mit denen vertrauenswürdige, kommerzielle Netzwerke missbraucht und bestimmte Opfergruppen mit strategischer Präzision angegriffen werden können.“

Zumindest können wir sagen, dass die Kaspersky-Produktedie schädlichen Programme und Ihre Varianten, die von Darkhotel verwendet werden, erkennt und neutralisiert. Einen ausführlichen Artikel zu Darkhotel finden Sie auf Securelist.com