{"id":4409,"date":"2014-11-10T12:38:29","date_gmt":"2014-11-10T12:38:29","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=4409"},"modified":"2020-02-26T18:37:25","modified_gmt":"2020-02-26T16:37:25","slug":"darkhotel-spionage","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/darkhotel-spionage\/4409\/","title":{"rendered":"Darkhotel: Spionagekampagne in asiatischen Luxushotels"},"content":{"rendered":"

Cyberspionage ist die Waffe des 21. Jahrhunderts. Sogar eine anscheinend harmlose mobile App kann einige Geheimnisse<\/a>\u00a0\u00fcber sorglose Anwender herausfinden, und eine \u00dcberwachungskampagne, die auf Mitarbeiter gro\u00dfer Konzerne oder Regierungsbeamte abzielt, kann das noch viel besser.<\/p>\n

Die Enth\u00fcllung dieses Herbsts ist die Entdeckung eines Spionagenetzwerks durch Kaspersky Lab, das den Namen \u201eDarkhotel\u201c erhielt. Die Kampagne ist seit sieben Jahren in zahlreichen asiatischen Luxushotels aktiv. Die professionellen Spione, die an dieser langj\u00e4hrigen Aktion arbeiten, erstellten einen umfassenden Werkzeugkasten mit verschiedenen M\u00f6glichkeiten und Methoden, in die Computer der Opfer einzubrechen.<\/p>\n

Die ersten Berichte des FBI, in denen vor Angriffen auf die G\u00e4ste der betroffenen Hotels gewarnt wird, wurden im Jahr 2012 ver\u00f6ffentlicht. Die bei Darkhotel (auch bekannt als Tapaoux) verwendeten Schadprogramme tauchten schon seit dem Jahr 2007 immer wieder auf. Sicherheitsforscher haben die Log-Dateien der f\u00fcr die Kampagne verwendeten C&C-Server ausgewertet und Verbindungen entdeckt, die bis zum 1. Januar 2009 zur\u00fcckreichen. Wenn man all das bedenkt, scheint die Spionagekampagne schon einige Zeit aktiv zu sein.<\/p>\n

Die Spionagekampagne #Darkhotel scheint seit sieben Jahren zu laufen<\/p>Tweet<\/a><\/blockquote>\n

Die Hauptmethode, mit der die Opfer-PCs infiltriert wurden, lief \u00fcber die WLAN-Verbindung in zahlreichen asiatischen Luxushotels. Die Cyberkriminellen verwendeten Zero-Day-Exploits in Adobe Flash und anderen beliebten Programmen bekannter Hersteller. Solche Sicherheitsl\u00fccken sind nicht einfach zu finden, was zeigt, dass entweder reiche Sponsoren, die es sich leisten k\u00f6nnen, eine teure Cyberwaffe zu kaufen<\/a>, hinter der Kampagne stecken oder sehr professionelle und gut ausgebildete Agenten daran beteiligt sind. Wahrscheinlich beides.<\/p>\n

\"DH2\"<\/a><\/strong><\/p>\n

Die genannte Methode, Computer mit Spyware zu infizieren, wurde am h\u00e4ufigsten verwendet, war aber nicht die einzige M\u00f6glichkeit, was darauf hindeutet, dass die Cyberkriminellen Angestellte der Hotels waren. Eine alternative M\u00f6glichkeit war die Verteilung eines Trojaners \u00fcber Torrent-Clients als Teil chinesischer Erotik-Comics.<\/p>\n

Zudem nutzten die Cyberspione zielgerichtetes Phishing und schickten sch\u00e4dliche E-Mails an Angestellte von Regierungen und gemeinn\u00fctzigen Organisationen.<\/p>\n

Die Kriminellen verwendeten einen hochentwickelten Keylogger. Die verwendete Spyware enthielt ein Modul f\u00fcr den Diebstahl von Passw\u00f6rtern, die in popul\u00e4ren Browsern gespeichert sind.<\/div>\n

Abgesehen von der Verwendung von Zero-Day-Sicherheitsl\u00fccken spricht vieles f\u00fcr die hohe Professionalit\u00e4t der beteiligten Cyberkriminellen. Sie haben es sogar geschafft, digitale Sicherheitszertifikate f\u00fcr ihre Schadprogramme zu f\u00e4lschen. Um die Kommunikation der Opfer abzuh\u00f6ren, verwendeten die Kriminellen einen hochentwickelten Keylogger. Die verwendete Spyware enthielt ein Modul f\u00fcr den Diebstahl von Passw\u00f6rtern, die in popul\u00e4ren Browsern gespeichert sind.<\/p>\n

Interessanterweise waren die T\u00e4ter extrem vorsichtig und haben verschiedene Ma\u00dfnahmen ergriffen, die Entdeckung des Schadprogramms zu verhindern. Daf\u00fcr stellten Sie sicher, dass der Virus eine sehr lange \u201eInkubationszeit\u201c hat: Der Trojaner verband sich erst 180 Tage, nachdem er ein Ger\u00e4t infiziert hatte, mit den C&C-Servern. Zudem enthielt die Spyware ein Selbstzerst\u00f6rungsprotokoll, das startet wenn die Sprache des Computers auf Koreanisch ge\u00e4ndert wird.<\/p>\n

\"DH3\"<\/a><\/strong><\/p>\n

Die Kriminellen haben vor allem in Japan gearbeitet, aber auch in Taiwan und China. Die Kaspersky-Experten haben jedoch auch Angriffe in anderen L\u00e4ndern entdeckt, manche davon weit entfernt von den urspr\u00fcnglich f\u00fcr die T\u00e4ter interessanten Gebieten.<\/p>\n