Malware „Darkhotel“ (APT)

VIRENDEFINITION

Virentyp: Malware, Advanced Persistent Threat (APT)

Was ist Darkhotel?

Die neueste Virenattacke, Darkhotel, wurde durch das Global Research and Analysis Team von Kaspersky Lab analysiert. Die Darkhotel-Bedrohung scheint aus einer Kombination aus Spear-Phishing und einer gefährlichen Malware zu bestehen, die vertrauliche Daten stehlen soll.

Die Cyberkriminellen hinter Darkhotel sind bereits seit fast einem Jahrzehnt aktiv und haben Tausende Opfer auf der ganzen Welt angegriffen. 90 Prozent der Darkhotel-Infektionen fanden in Japan, Taiwan, China, Russland und Korea statt, jedoch gab es auch Infektionen in Deutschland, den USA, Indonesien, Indien und Irland.

Virendetails

Wie funktioniert die Darkhotel-Bedrohung?

Die Kampagne ist insofern ungewöhnlich, dass sie Opfer in unterschiedlichem Maße angreift.

(1) Spear-Phishing

Auf der einen Seite nutzen die Cyberkriminellen Spear-Phishing, um in die Systeme von Rüstungsindustrie, Regierungsbehörden, nichtstaatlichen Organisationen, großen Elektronikherstellern, Pharmazieunternehmen, medizinischen Dienstleistern, Militärorganisationen und politischen Entscheidungsträgern in Energiefragen einzudringen. Hierbei folgen die Angriffe dem üblichen Spear-Phishing-Prozess – mit gründlich getarnten Darkhotel-Implantaten. Der ködernde E-Mail-Text enthält oft Themen wie Kernenergie und Waffenfähigkeit. In den vergangenen Jahren enthielten die Spear-Phishing-E-Mails einen angehängten Adobe-Zero-Day-Exploit oder Links, die den Browser des Opfers zu einem Internet Explorer-Zero-Day-Exploit umleiteten. Ihr Ziel ist es, Daten von den angegriffenen Organisationen zu stehlen.

(2) Malware-Verteilung

Auf der anderen Seite steht Malware, die sie wahllos über japanische P2P-File-Sharing-Seiten (Peer-to-Peer) verbreiten. Die Malware ist Teil eines großen RAR-Archivs, das angeblich sexuelle Inhalte enthält, aber in Wahrheit einen Backdoor-Trojaner installiert, der vertrauliche Daten vom Opfer stiehlt.

(3) Infektion

Mit einem Ansatz, der irgendwo zwischen diesen beiden Seiten angesiedelt ist, zielen sie auf arglose Führungskräfte ab, die in Übersee auf Reisen sind und in Hotels übernachten. Dort werden die Opfer mit einem seltenen Trojaner infiziert, der sich als Version einer bekannten Software, wie z. B. Google Toolbar, Adobe Flash oder Windows Messenger, ausgibt. Diese erste Infektion wird von den Angreifern genutzt, um die Opfer einzustufen und ggf. weitere Malware auf ihre Computer herunterzuladen, um vertrauliche Daten zu stehlen.

Eine Zeichenfolge im schädlichen Code deutet darauf hin, dass die Bedrohung von koreanischen Cyberkriminellen stammt.

Was macht Darkhotel so besonders?

Trotz der technischen Raffinesse vieler zielgerichteter Angriffe beginnen sie für gewöhnlich damit, dass ein Mitarbeiter dazu bewegt wird, etwas zu tun, das die Sicherheit des Unternehmens gefährdet. Mitarbeiter, die viel mit Personen außerhalb des Unternehmens zu tun haben, wie z. B. Marketing-Teams, Vertriebsmitarbeiter und Führungskräfte, sind hierbei besonders anfällig, da sie oft unterwegs sind und dabei unsichere Netzwerke (z. B. im Hotel) nutzen, um sich mit dem Unternehmensnetzwerk zu verbinden.

Merkmale der Darkhotel-Kampagne

• Die zielgerichteten Angriffe richteten sich gegen Führungskräfte: CEOs, Senior Vice Presidents, Vertriebs- und Marketing-Leiter und leitendes Forschungs- und Entwicklungspersonal.
• Die kriminelle Gruppe nutzt sowohl zielgerichtete Angriffe als auch ein Botnet. Sie dringen in Hotelnetzwerke ein und führen dann über diese Netzwerke Angriffe auf hochrangige Ziele durch. Gleichzeitig nutzen sie ein Botnet zur Massenüberwachung oder um verschiedene Aufgaben durchzuführen, wie z. B. DDoS-Angriffe (Distributed Denial-of-Service) oder die Installation komplexer Spionage-Tools auf Computern besonders interessanter Opfer.
• Sie nutzen Zero-Day-Exploits in Internet Explorer und Adobe-Produkten.
• Sie verwenden fortschrittliche, gut versteckte Keylogger, um vertrauliche Daten zu stehlen.
• Der schädliche Code wird mit gestohlenen digitalen Zertifikaten signiert.
• Die Kampagne ist von langer Dauer: Darkhotel ist bereits seit fast einem Jahrzehnt aktiv.

Wie schütze ich mich vor einem Darkhotel-Angriff?

Obwohl vollständiger Schutz schwierig sein kann, bieten wir Ihnen im Folgenden einige Tipps, mit denen Sie auf Reisen sicher sind.

1. Nutzen Sie in öffentlichen oder anderen nicht gesicherten WLANs (z. B. in Hotels) einen vertrauenswürdigen VPN-Tunnel.
2. Lesen Sie nach, und merken Sie sich, wie Spear-Phishing-Angriffe ablaufen.
3. Pflegen und aktualisieren Sie sämtliche Systemsoftware.
4. Überprüfen Sie Programmdateien immer, und gehen Sie bei Dateien aus P2P-Netzwerken äußerst vorsichtig vor.
5. Versuchen Sie, Software-Updates auf Reisen einzuschränken.
6. Installieren Sie eine hochwertige Internet-Sicherheitssoftware: Stellen Sie sicher, dass sie neben grundlegendem Virenschutz auch vorausschauende Abwehrmaßnahmen für neue Bedrohungen enthält.