Udspekuleret hackergruppe sniger sig ind på topchefers computere via hotel-wifi

10. november 2014 kl. 16:0311
Flere tusinde tidligere gæster hos asiatiske luksushotelkæder er blevet ramt af målrettede angreb ifølge ny sikkerhedsrapport.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

En særlig spionagekampagne har ramt adskillige internationale topchefer i industrien og muligvis kompromitteret forretningshemmeligheder på vedkommendes computere.

Overvågningen er foregået via en række unavngivne asiatiske luksushotellers trådløse netværk, som ellers bliver betragtet som private og sikre. Det fastslår en rapport fra sikkerhedsfirmaet Kaspersky Lab ifølge nyhedsbureauet Reuters.

»Angriberne går efter meget specifikke individer, som bør være opmærksomme på værdien af deres information og tage kraftige tiltag for at beskytte den,« siger sikkerhedsresearcher hos Kaspersky Lab Kurt Baumgartner til Reuters.

Sikkerhedsfirmaet har ikke offentliggjort navnene på de ramte topchefer, men det drejer sig tilsyneladende om personer inden for bil-, kosmetik-, kemi- og militærindustrien.

Artiklen fortsætter efter annoncen

Når gæsterne oplyser deres efternavn og værelsesnummer under login til deres hotelværelses trådløse netværk, bliver gæsterne narret til at downloade falske opdateringer til kendt software som Adobe Flash, Google Toolbar og Microsoft Messenger.

Fordi kompromitteringen sker under login-processen, hjælper det ifølge rapporten ikke at kryptere kommunikationen efterfølgende.

Hackerne bruger blandt andet avanceret software til at keylogge gæsterne og bryde kryptering med. Efter angrebene har hackerne slettet værktøjerne fra hotelnetværket for at fjerne deres spor.

90 pct. af ofrene for angrebene kommer fra Japan, Taiwan, Kina, Rusland og Sydkorea.

Artiklen fortsætter efter annoncen

Det er ifølge rapporten stadig et mysterium, hvordan hackerne kender deres ofres præcise rejseplan, hvilket kan tyde på, at der er tale om en større kompromittering af hotelkædernes it-systemer.

add
add
add
11 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
Poul-Henning Kamp
11. november 2014 kl. 11:37

"Overvågningen er foregået via en række unavngivne asiatiske luksushotellers trådløse netværk, som ellers bliver betragtet som private og sikre."

Hvem opfattede dem som "private og sikre" ?

Og hvorfor ?

Fordi det stod med et "exclusivt" skriftsnit et eller andet sted på hotellet ?

amaoter...

  • more_vert
    • insert_linkKopier link
11
Carsten Olsen
15. november 2014 kl. 14:35

Hvem opfattede dem som "private og sikre" ?</p>
<p>Og hvorfor ?

Problemet er IKKE at hotellet er usikkert. Problemet er "Topchefers Computere" er extremt sårbare, de er nemlig Nul-konfigureret. Det vil blandt andet sige at de stoler på hotellets (eller malware instaleret af tredie part på hotellet) DNS-server, som kan sende dem til alle andre destinationer end de rette. Enhver snak om sikkerheds pakker og virus-scannere er helt til grin, sålænge dette problem ikke er adresseret.

  • more_vert
    • insert_linkKopier link
8
Jacob Pind
11. november 2014 kl. 11:34

er bla via adobe updater som ikke skyggen af tjek på om den update server den snakker med er den rigtig, falske certifikater har den ignoret og preserern folk for en update til flash eller acrobat skrammle som de så har udført med de fornødene administrator rettigheder.

  • more_vert
    • insert_linkKopier link
10
Brian Hansen
11. november 2014 kl. 12:37

Det kræver stadigvæk at brugeren der er logget på er lokal admin, ellers får den ikke lov til at opdatere.

  • more_vert
    • insert_linkKopier link
5
Cristian Ambæk
11. november 2014 kl. 01:31

sikkerheden på hoteller i både hotellets netværket eller it systemer leveret til fjernsynet der siger "velkommen Hr. x" Er så dårlig at de fleste it professionelle ville få et chock.

Ids & ips... ikke eksisterende.

jeg ville ikke koble mit eget udstyr til sådanne et sted.

  • more_vert
    • insert_linkKopier link
3
Steen Grode
10. november 2014 kl. 22:38

... microsoft messenger, jo man kan godt køre den stadig hvis man har forstand, men så henter man med sikkerhed ikke en opdatering...

  • more_vert
    • insert_linkKopier link
2
Brian Hansen
10. november 2014 kl. 18:23

Hvorfor kan de afvikle ikke-godkendt software i første omgang?

  • more_vert
    • insert_linkKopier link
6
Kjeld Flarup Christensen
11. november 2014 kl. 08:52

Måske fordi Adobe o.s.v. kører deres eget løb og ikke opdaterer via officielle repositories.

  • more_vert
    • insert_linkKopier link
4
Malcolm Xander
11. november 2014 kl. 01:15

Jeg har forstået det på følgende måde:

  • Der er kørt arp poisoning angreb på hotellernes netværk, og disse er blevet brugt til at injicere en iframe på hotellets netværks login-side. Eller måske alt ikke-krypteret http trafik?
  • Disse iframes har så leveret signeret malware, der har været bundled med den reelle software. Her antager jeg, at de har brugt Javascript i form af en skræddersyet pop-up i samme stil med softwaren de prøver at efterligne. Her kunne man også bruge Javascript og databasesoftware til at holde styr på hvilke klienter der har downloaded deres 'opdateringer', og herved fjerne fremtidige pop-ups ved samme klient, for at undgå at de bliver mistænkelige.

At de har 'ryddet op' efter sig giver næsten sig selv, da de højst sandsynligt har kørt en lokal server, som har sørget for at hoste 'opdateringerne' samt eventuelt php og Javascript Kode. Så når de slutter arp poinsoning angrebet vil det hele automatisk ændre sig tilbage til hvordan det var før angrebet. Her kunne det så tænkes, at de har haft adgang til routeren, og været i stand til at slette logs. Vi ved jo efterhånden hvor usikre disse er.

De kunne også have haft brugt BDP og EvilGrade, men tror nu ovenstående har været deres MO. At de så er dumme nok til at installere disse 'opdateringer' kan jo så ikke komme bag på de fleste der har leget med denne type angreb. Du finder ikke ligefrem mange - hverken firmaer eller enkeltpersoner - som rent faktisk benytter sig af en form for whitelisting af software.

  • more_vert
    • insert_linkKopier link
1
Christian Panton
10. november 2014 kl. 16:12

Er det den nye måde at antivirusleverandørerne reklamerer på?

  • more_vert
    • insert_linkKopier link