0
De APT28 hacken van de groep is achter een reeks aanvallen – maar dit is de eerste keer dat zij gebruikt EternalBlue.
Beeld: iStock
Een hacken van de groep beschuldigd van het gekoppeld inmenging in de aanloop naar de AMERIKAANSE presidentsverkiezingen is het benutten van de Windows-exploit die gemaakt WannaCry ransomware en Petya zo krachtig — en met het uitvoeren van cyberaanvallen tegen de hotels in Europa.
Onderzoekers van FireEye hebben toegeschreven een campagne om op afstand te stelen referenties van de gasten gebruik maken van de Wi-Fi-netwerken in hotels in Europa te APT28 — ook bekend als Mooie Beer — het hacken van een organisatie die veel beveiligingsbedrijven hebben gekoppeld aan de russische militaire inlichtingendienst.
De aanval slaagt EternalBlue, een beveiligingsprobleem die gebruik maakt van een versie van het Windows Server Message Block (SMB) netwerkprotocol om lateraal verspreid via netwerken.
Het exploiteren, één van de velen die naar verluidt werd bekend door de AMERIKAANSE geheime diensten en wordt gebruikt door de NSA in het kader van toezicht, was uitgelekt en gepubliceerd door de Schaduw Makelaars hacken van de groep.
Met de code is beschikbaar voor iedereen om te zien, het was misschien slechts een kwestie van tijd voordat de anderen gekeken te gebruiken — zoals wordt aangetoond door de WannaCry ransomware-epidemie en de daaropvolgende Petya uitbraak.
Een aantal van cyber criminele groepen probeert te gebruiken EternalBlue te stimuleren hun eigen malware, maar het is de eerste keer APT28 gespot poging te doen dus.
“Dit is de eerste keer hebben we APT28 opnemen met deze benutten in hun aanvallen, en zo ver als we geloven, de variant gebruikt was gebaseerd op de publieke versie,” Cristiana Brafman Kittner, senior analist bij FireEye, vertelde ZDNet.
De aanval begint met een spear-phishing-campagne, die zich richt op meerdere bedrijven in de hospitality industrie met hotels in ten minste zeven Europese landen en het Midden-Oosten land, die worden verzonden e-mails ontworpen om compromissen te sluiten netwerken.
De berichten bevatten een kwaadaardig document “Hotel_Reservation_From.doc” met een macro die als succesvol uitgevoerd, decodeert en zet GameFish — die onderzoekers beschrijven als APT28 de handtekening van malware.
Zodra GameFish is geïnstalleerd op het netwerk, maakt gebruik van EternalBlue naar worm zijn weg door het netwerk en het vinden van computers verantwoordelijk voor de aansturing van zowel de gast als de interne Wi-Fi-netwerken. Zodra in de besturing van deze machines, implementeert de malware een open source-Responder tool, waardoor het stelen referenties verzonden via het draadloze netwerk.
Tijdens de aanval wordt uitgevoerd tegen het netwerk als geheel, FireEye suggereert dat “de hotelgasten van belang kunnen rechtstreeks worden gericht” — de overheid en het bedrijfsleven personeel eerder van belang om APT28.
De onderzoekers concludeerden dat bij een incident, een slachtoffer was aangetast na het aansluiten op het netwerk van het hotel, maar dat de aanvallers niet onmiddellijk actie ondernemen — ze wachtte tot 12 uur voor op afstand toegang krijgen tot de systemen. Echter, de aanmelding afkomstig is van dezelfde subnet aangeeft dat de aanvaller machine was in de buurt van het slachtoffer en op hetzelfde Wi-Fi-netwerk.
De techniek benut ook single-factor authenticatie van de gebruiker, met behulp van twee-factor authenticatie maakt het moeilijker voor hackers om in te breken in gerichte accounts.
Deze aanvallen tegen de Europese hotels – die FireEye hebben toegeschreven aan APT28 met “matig vertrouwen” – het delen van een aantal overeenkomsten met andere geavanceerde hacken en cyberespionage campagne tegen de hospitality sector, bekend als DarkHotel.
De groep achter DarkHotel ook compromissen hotel Wi-Fi-verbindingen en combineert dit met een spear phishing-aanvallen om compromissen te sluiten en specifieke doelstellingen.
Echter, FireEye zegt dat de twee campagnes zijn niet gekoppeld en dat DarkHotel-ook bekend als Fallout Team — lijkt te zijn het werk van een “koreaanse schiereiland-nexus cyber spionage acteur” en niet APT28.
“Tijdens de vorige targeting van slachtoffers door middel van openbare Wi-Fi door fall-out Team is vergelijkbaar met de laatste APT28 campagne, dit zijn twee afzonderlijke actoren uitvoeren van operaties voor de nationale veiligheid belangen ter ondersteuning van hun respectieve sponsor,” zei Kittner.
“Verder zijn er technische verschillen tussen hoe elke actor uitgevoerd hun werking. Fallout Team gepresenteerd nep-software-updates voor gebruikers, terwijl APT28 is aan de wachtwoorden van Wifi-verkeer,” voegde ze eraan toe.
FireEye waarschuwt dat het publiek toegankelijke Wifi-netwerken vormen een belangrijke bedreiging en “moet worden vermeden indien mogelijk”.
Met de release van de EternalBlue benutten, helaas is het niet verwonderlijk dat hacking groepen zijn op zoek naar een harnas en andere Vault7 lekken voor hun eigen gewin.
Hoewel het idee van deze exploits werden gebruikt om een boost cyber criminele bendes is slecht, in de handen van geavanceerde state-back-acteurs als APT28, malware zou nog meer schade.
Vorige dekking
Vijf-Sterren-hackers: High-end hotel van gegevens dieven terug naar target ambtenaren
De DarkHotel hacken van de groep is terug — maar deze keer zijn ze gericht op een ander doel, met behulp van een nieuwe stam van Inexsmar malware.
Hackers gebruiken het hotel Wi-Fi om te spioneren op de gasten, het stelen van gegevens
De DarkHotel hacken van de groep is terug — maar deze keer zijn ze gericht op een ander doel, met behulp van een nieuwe stam van Inexsmar malware.
LEES MEER OVER CYBERCRIMINALITEIT
Cyberoorlog: Het smart person ‘ s guide [TechRepublic]WannaCry: Waarom deze ransomware gewoon niet sterven Na WannaCry, ransomware zal slechter worden, voordat het wordt betterHow cybersleuths besloten dat Rusland achter ONS verkiezing hack [CNET]Ransomware: Een executive gids naar één van de grootste bedreigingen op het web
0