Udspekuleret hackergruppe sniger sig ind på topchefers computere via hotel-wifi

Illustration: Virrage Images/Bigstock
Flere tusinde tidligere gæster hos asiatiske luksushotelkæder er blevet ramt af målrettede angreb ifølge ny sikkerhedsrapport.

En særlig spionagekampagne har ramt adskillige internationale topchefer i industrien og muligvis kompromitteret forretningshemmeligheder på vedkommendes computere.

Overvågningen er foregået via en række unavngivne asiatiske luksushotellers trådløse netværk, som ellers bliver betragtet som private og sikre. Det fastslår en rapport fra sikkerhedsfirmaet Kaspersky Lab ifølge nyhedsbureauet Reuters.

»Angriberne går efter meget specifikke individer, som bør være opmærksomme på værdien af deres information og tage kraftige tiltag for at beskytte den,« siger sikkerhedsresearcher hos Kaspersky Lab Kurt Baumgartner til Reuters.

Sikkerhedsfirmaet har ikke offentliggjort navnene på de ramte topchefer, men det drejer sig tilsyneladende om personer inden for bil-, kosmetik-, kemi- og militærindustrien.

Når gæsterne oplyser deres efternavn og værelsesnummer under login til deres hotelværelses trådløse netværk, bliver gæsterne narret til at downloade falske opdateringer til kendt software som Adobe Flash, Google Toolbar og Microsoft Messenger.

Fordi kompromitteringen sker under login-processen, hjælper det ifølge rapporten ikke at kryptere kommunikationen efterfølgende.

Hackerne bruger blandt andet avanceret software til at keylogge gæsterne og bryde kryptering med. Efter angrebene har hackerne slettet værktøjerne fra hotelnetværket for at fjerne deres spor.

90 pct. af ofrene for angrebene kommer fra Japan, Taiwan, Kina, Rusland og Sydkorea.

Det er ifølge rapporten stadig et mysterium, hvordan hackerne kender deres ofres præcise rejseplan, hvilket kan tyde på, at der er tale om en større kompromittering af hotelkædernes it-systemer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Malcolm Xander

Jeg har forstået det på følgende måde:
- Der er kørt arp poisoning angreb på hotellernes netværk, og disse er blevet brugt til at injicere en iframe på hotellets netværks login-side. Eller måske alt ikke-krypteret http trafik?
- Disse iframes har så leveret signeret malware, der har været bundled med den reelle software. Her antager jeg, at de har brugt Javascript i form af en skræddersyet pop-up i samme stil med softwaren de prøver at efterligne.
Her kunne man også bruge Javascript og databasesoftware til at holde styr på hvilke klienter der har downloaded deres 'opdateringer', og herved fjerne fremtidige pop-ups ved samme klient, for at undgå at de bliver mistænkelige.

At de har 'ryddet op' efter sig giver næsten sig selv, da de højst sandsynligt har kørt en lokal server, som har sørget for at hoste 'opdateringerne' samt eventuelt php og Javascript Kode. Så når de slutter arp poinsoning angrebet vil det hele automatisk ændre sig tilbage til hvordan det var før angrebet.
Her kunne det så tænkes, at de har haft adgang til routeren, og været i stand til at slette logs. Vi ved jo efterhånden hvor usikre disse er.

De kunne også have haft brugt BDP og EvilGrade, men tror nu ovenstående har været deres MO. At de så er dumme nok til at installere disse 'opdateringer' kan jo så ikke komme bag på de fleste der har leget med denne type angreb.
Du finder ikke ligefrem mange - hverken firmaer eller enkeltpersoner - som rent faktisk benytter sig af en form for whitelisting af software.

  • 0
  • 0
Cristian Ambæk

sikkerheden på hoteller i både hotellets netværket eller it systemer leveret til fjernsynet der siger "velkommen Hr. x"
Er så dårlig at de fleste it professionelle ville få et chock.

Ids & ips... ikke eksisterende.

jeg ville ikke koble mit eget udstyr til sådanne et sted.

  • 1
  • 0
Jacob Pind

er bla via adobe updater som ikke skyggen af tjek på om den update server den snakker med er den rigtig, falske certifikater har den ignoret og preserern folk for en update til flash eller acrobat skrammle som de så har udført med de fornødene administrator rettigheder.

  • 0
  • 0
Poul-Henning Kamp Blogger

"Overvågningen er foregået via en række unavngivne asiatiske luksushotellers trådløse netværk, som ellers bliver betragtet som private og sikre."

Hvem opfattede dem som "private og sikre" ?

Og hvorfor ?

Fordi det stod med et "exclusivt" skriftsnit et eller andet sted på hotellet ?

amaoter...

  • 3
  • 0
Carsten Olsen

Hvem opfattede dem som "private og sikre" ?

Og hvorfor ?


Problemet er IKKE at hotellet er usikkert. Problemet er "Topchefers Computere" er extremt sårbare, de er nemlig Nul-konfigureret. Det vil blandt andet sige at de stoler på hotellets (eller malware instaleret af tredie part på hotellet) DNS-server, som kan sende dem til alle andre destinationer end de rette. Enhver snak om sikkerheds pakker og virus-scannere er helt til grin, sålænge dette problem ikke er adresseret.

  • 1
  • 0
Log ind eller Opret konto for at kommentere