Хакерите от Fancy Bear вече атакуват Wi-Fi мрежи на хотели

Руската хакерска група ATP28, известна още като "Fancy Bear", е използвала уязвими Wi-Fi в скъпи хотели, за да шпионира посетителите им. Нещо повече: напоследък "мечките" са започнали да използват инструмент на Агенцията за национална сигурност (АНС) на САЩ, за да подобрят атаките си.

Това става ясно от нов доклад на компанията за кибер сигурност FireEye, следяща отблизо акциите на руските хакери, които успяха да пробият сървъра на Демократическата партия през 2016 г. и публикуваха серия от конфиденциални и компрометиращи Хилари Клинтън писма.

Хакерите, за които се подозира, че са свързани с руската служба за военно разузнаване ГРУ, са започнали да използват EternalBlue през последния месец, предупреждават експертите от FireEye.

ЕternalBlue е софтуерен инструмент за пробив в уязвими системи под Microsoft Windows, за чието съществуване се разбра през април 2017 г., когато групата Shadow Brokers разкриха част от хакерския арсенал на Агенцията за национална сигурност на САЩ.

След като руските хакери успеят да пробият Wi-Fi мрежите на хотелите чрез phishing или други техники, те използват достъпа си до мрежата, за да крадат имената и паролите на посетителите с нов, доста по-лесен и пасивен трик.

Първият случай на атаки от Fancy Bear срещу хотелиерски мрежи е засечен през есента на 2016 г., когато компанията FireEye анализира причините за злонамерен пробив, започнал от компютъра на служител на корпорация. Установено е, че източникът на заразата е компрометирана Wi-Fi мрежа в хотел, в който мъжът е пренощувал.

12 часа след включването на лаптопа му към безжичния интернет на хотела, неизвестен извършител се е свързал през същата мрежа, за да използва личните данни - профилно име и парола - на жертвата си, за да влезе в компютъра му, да инсталира в него вирус и да използва данните от приложението Outlook.

Преди месец FireEye узнава за цяла серия от подобни Wi-Fi атаки в хотелите в седем столици в Европа, и една - в страна от Близкия Изток.

При всички случаи хакерите най-напред пробиват wireless-мрежата на хотела, в който отсяда жертвата - най-често чрез разпращането на мейли със заразени прикачени файлове, например .doc с макроси.

След като вече имат достъп до мрежата, руските хакери пускат EternalBlue, който им позволява доста бързо да разширят контрола си чрез уязвимост в операционната система на Microsoft, докато най-после стигнат до сървърите, които управляват Wi-Fi мрежата за гости.

Оттук хакерите използват т.нар. Responder - трети инструмент, който им дава възможност не само да наблюдават трафика от прихванатата мрежа, но и да накарат компютъра на жертвата сам да им предаде данните на потребителя, без да даде никакъв сигнал за пробива.

Когато компютърът на жертвата направи връзка с външни услуги като принтери или споделени папки, Responder може да имитира тези клиенти чрез фалшифициран процес за идентификация. Така софтуерът подвежда машината да прехвърли юзърнейма и паролата си към хакерите. Паролата се препраща под формата на криптиран сегмент, който е възможно да бъде разчетен от хакерите в рамките на часове.

Случаят от 2016 г. показва, че руснаците са успели да откраднат паролата на жертвата си, но я използват едва 12 часа по-късно - предполага се, че междувременно са се опитвали да декриптират данните.

Всички случаи на атаки стават в мрежите на относително скъпи хотели, в които се предполага, че отсядат ценни "мишени" за хакерите - корпоративни мениджъри, дипломати и др. FireEye не са сигурни дали Fancy Bear са търсили конкретни жертви или просто са проверявали колко ценна информация могат да придобият при подобна акция.

С "умерена сигурност" анализаторите подкрепят хипотезата си, че именно Fancy Bear стоят зад серията пробиви. Оценката им се базира на използването на два типични за руснаците зловредни софтуера - GameFish и XTunnel, които са намерени на компютрите на жертвите.

От FireEye предупреждават, че дори използването на VPN не е сигурна гаранция за недопускане на теч на лични данни към Responder. Най-безопасният подход би бил да използвате собствен hotspot за безжичен интернет и изобщо да не се включвате към мрежите на хотела, ако се притеснявате от потенциална атака.

Новините

Най-четените