DarkHotel, el grupo de piratas informáticos que atacan hoteles de lujo

La APT norcoreana obtuvo su nombre por comprometer las redes Wi-Fi y de intercambio de archivos de hoteles de lujo, logrando robar datos confidenciales de los altos ejecutivos mientras se estos se hospedan en hoteles de lujo.

DarkHotel es un grupo de amenazas persistentes (APT) vinculado a Corea del Norte que ha estado activo desde al menos 2007. El grupo obtuvo su nombre por comprometer las redes Wi-Fi y de intercambio de archivos de hoteles de lujo. También se les conoce por el alias Tapaoux, Pioneer, Karba y Nemim.

Por si no recuerdas que es un APT, te lo contamos acá de manera rápida y sencilla.

¿Cuál es su objetivo principal?

El grupo de amenaza utiliza una combinación de métodos altamente sofisticados para atrapar a las víctimas, pero los ataques a hoteles siguen siendo un objetivo de alto valor. La mayoría de los hoteles afectados están ubicados en Asia, seguidos por algunos en Estados Unidos.

Las víctimas de los atacantes han sido identificadas en Corea del Norte, Rusia, Corea del Sur, Japón, Bangladesh, Tailandia, Taiwán, China, Estados Unidos, India, Mozambique, Indonesia y Alemania. La primera campaña de espionaje de DarkHotel fue descubierta por expertos de Kaspersky Lab a fines de 2014.

Infografía sobre el proceso de ataque. Créditos: Kaspersky Lab.

Modus operandi

Este APT impulsa la mayoría de su campaña a través de un ataque de spear phishing. Roban datos confidenciales de los altos ejecutivos, incluidos directores generales, vicepresidentes senior, directores de ventas y marketing de varias organizaciones, mientras se hospedaban en hoteles de lujo. Estos altos ejecutivos son principalmente de manufactura, defensa, capital, farmacéutica, aplicación de la ley y servicios militares y otras industrias.

Los atacantes aprovechan varios métodos, incluidos exploits de día cero para piratear los sistemas objetivo. Una de las vulnerabilidades zeroday que utiliza el grupo es una vulnerabilidad de Flash. Inicia su proceso de piratería comprometiendo las redes Wi-Fi. Cuando los usuarios se conectan a la red, se representan con un cuadro de diálogo que les pide que instalen una actualización falsa. En cambio, la actualización falsa es en realidad una pieza de malware firmada digitalmente.

El malware utilizado por el grupo de piratas informáticos de Corea del Norte viene equipado con el registro de teclas y otra función de robo de información que luego se envía a los atacantes.

“En los hoteles, estas instalaciones se distribuyen selectivamente a individuos específicos. Este grupo de atacantes parece saber de antemano cuándo llegarán y saldrán estas personas de sus hoteles de alta gama. Entonces, los atacantes aguardan hasta que estos viajeros lleguen y se conecten a Internet ”, dijo Kaspersky Lab en su informe de análisis.

Las operaciones del grupo también incluyen a los piratas informáticos que obtienen acceso a algunos de los sistemas de los hoteles que mantienen la información de registro para los huéspedes. Al obtener acceso a la lista, los atacantes pueden recopilar información sobre sus objetivos principales. Los atacantes podían acceder a información como las horas de llegada y salida esperadas de la víctima, el número de habitación y el nombre completo, entre otras cosas.

Además de contaminar las redes de igual a igual para infectar a las masas, DarkHotel utiliza una variedad de certificados digitales para extender su ataque. El grupo explota los certificados digitales débilmente implementados para firmar su código mal.

“El actor abusó de la confianza de al menos diez AC de esta manera. Actualmente, están robando y reutilizando otros certificados legítimos para firmar su conjunto de herramientas mayormente estático de puerta trasera y ladrón de información. Su infraestructura crece y se reduce con el tiempo, sin un patrón consistente en la configuración. Está protegido con cifrado de datos flexible y mal defendido con una funcionalidad débil ”, explica Kaspersky Lab.

Tácticas, técnicas y procedimientos

Darkhotel tiene un día de campo cuando se trata de elegir herramientas y tácticas para comprometer una red hotelera. Esto incluye:

·Usando keyloggers como la mayoría de los hoteles tienen computadoras de acceso público.

·Instalar un simple descargador de malware o malware en la computadora invitada para recopilar información.

·Aprovechando el exploit de día cero.

·Entrega de malware a través del ataque de spear-phishing.