Dark Hotel, lüks otellerde kalan hedefleri avlıyor. Çete asla aynı hedefin ardından iki kez gitmiyor, operasyonlarını cerrahi titizlikle uygularken alabildikleri tüm kıymetli bilgileri ilk elden alıyor, çalışmalarının izlerini siliyor ve bir sonraki yüksek profilli hedefi beklerken yeraltına çekiliyor.
En yakın zamandaki hedefler arasında, Asya-Pasifik bölgesinde iş yapan ve yatırımlarda bulunan ABD ve Asyalı iş insanları bulunuyor: CEO’lar, kıdemli başkan yardımcıları, satış ve pazarlama direktörleri ve üst düzey Ar-Ge personeli bu hedefler arasında. Bir sonraki kurban kim olacak? Kaspersky Lab, bu tehdidin halen aktif olduğu konusunda iş insanlarını uyarıyor.
Peki bu saldırı nasıl gerçekleşiyor
Dark Hotel casusu, özel ve gizli olduğu düşünülen sistemlerine bile yıllarca birçok kez erişim sağlamış olduğu otel ağlarına etkili bir şekilde sızıyor. Kurbanın otele giriş yapmasının ardından otelin Wi-Fi ağına bağlanmasını ve oturum açarken oda numarası ve soyadını girmesini bekliyor. Saldırganlar kurbanı güvenliğini ihlal ettikleri ağda görüyor ve Google Araç Çubuğu, Adobe Flash veya Windows Messenger benzeri bir yasal yazılımın güncellemesi gibi görünen bir arka kapıyı indirmesi ve kurması için ikna ediyor. Durumdan şüphelenmeyen işadamı, otelin “hoş geldiniz paketini” indirerek Dark Hotel’in casusluk yazılımı olan arka kapıyı bilgisayarına bulaştırıyor.
Sisteme giren arka kapı daha gelişmiş hırsızlık araçlarını indirmek için kullanılıyor: dijital imzalı gelişmiş bir tuş kaydedici, ‘Karba’ Trojanı ve bir bilgi çalma modülü. Bu araçlar sistem ve üzerinde kurulu zararlı yazılım önleme yazılımı hakkında bilgi toplar, tüm tuş darbelerini kaydediyor ve Firefox, Chrome ve Internet Explorer‘da ön belleğe alınan şifreleri; Gmail Notifier, Twitter, Facebook, Yahoo! ve Google oturum açma bilgilerini ve diğer gizli bilgileri çalıyor. Kurbanlar, temsil ettikleri kurumların fikri mülkiyetleri de dahil olmak üzere hassas bilgilerini kaybeder. Operasyonun ardından ise saldırganlar, araçlarının izlerini otel ağından özenle siler ve saklanmaya devam eder.
Dark Hotel hakkında yorumlarda bulunan Kaspersky Lab Baş Güvenlik Araştırmacısı Kurt Baumgartner şunları söyledi: Geçtiğimiz birkaç yıl içinde Dark Hotel adı verilen güçlü bir aktör, tipik siber saldırı davranışın çok ötesinde yöntemler ve teknikler uygulayarak yüksek profilli işadamlarına karşı bir dizi başarılı saldırı gerçekleştirdi. Bu tehdit aktörü operasyonel yetkinliğe, matematik ve kriptanalitik saldırı becerilerine ve güvenli ticari ağları ihlal etmek ve stratejik hassasiyetle belirli kurban kategorilerini hedeflemek için yeterli kaynağa sahiptir.”
Kurt Baumgartner sözlerine şöyle devam ediyor: “Hedefli saldırıların yüksek profilli kurbanlara karşı kullanıldığı ve botnet tarzı operasyonların toplu gözetim veya DDoSing saldırıları veya sadece ilgi çekici kurbanların daha karmaşık casusluk araçlarına yükseltilmesi gibi görevlerde kullanıldığı hedefli saldırılar ve rastgele saldırıların karışımı, APT sahnesinde git gide daha sık görülmektedir.”
Kaspersky Lab araştırmacıları saldırganların bir dize üzerinde, Korece konuşan bir aktöre işaret eden bir iz bıraktığını bildirdi. Kaspersky Lab’ın ürünleri Dark Hotel tarafından kullanılan zararlı programları ve değişkenlerini tespit ediyor ve etkisiz hale getiriyor. Kaspersky Lab şu anda, sorunu en iyi şekilde çözmek için ilgili kurumlarla birlikte çalışmakta.