Gli hacker sono ora utilizzando l’exploit dietro WannaCry spiare hotel Wi-Fi gratuita

0
203

0

istock-hands-of-a-hacker.jpg

Il APT28 gruppo di hacker è dietro una stringa di attacchi, ma questa è la prima volta che l’ha usata EternalBlue.

Immagine: iStock

Un gruppo di hacker accusato di aver collegato l’intromissione nella corsa per le elezioni presidenziali STATUNITENSI, sta sfruttando Windows exploit che ha fatto WannaCry ransomware e Petya così potente-e l’utilizzo di esso per eseguire attacchi contro gli alberghi in Europa.

I ricercatori FireEye hanno attribuito una campagna remoto per rubare le credenziali di clienti che utilizza le reti Wi-Fi in hotel in Europa per APT28, noto anche come Fantasia Orso-un hacking organizzazione che molte aziende di sicurezza hanno legato a quello della Russia di intelligence militare.

L’attacco sfrutta EternalBlue, una vulnerabilità di sicurezza che sfrutta una versione di Windows Server Message Block (SMB) protocollo di rete per diffondere lateralmente attraverso le reti.

L’exploit, uno dei tanti che è stato conosciuto da NOI i servizi di intelligence e utilizzato dalla NSA per la sorveglianza, è stata scoperta e pubblicata da the Shadow Broker gruppo di hacker.

Con il codice disponibile per chiunque di vedere, forse era solo una questione di tempo prima che gli altri lo guardavano a leva-come dimostrato dal WannaCry ransomware epidemia e la successiva Petya scoppio.

Un certo numero di gruppi criminali informatici stanno tentando di utilizzare EternalBlue per aumentare la propria malware, ma è la prima volta APT28 sono stati avvistati tentare di fare così.

“Questa è la prima volta che abbiamo visto APT28 incorporare questo exploit in loro intrusioni, e, per quanto ci credono, la variante utilizzata si è basata sulla versione pubblica,” Cristiana i. brafman Kittner, senior analyst di FireEye, ha detto a ZDNet.

L’attacco inizia con una spear-phishing campagna, che gli obiettivi di più le aziende del settore alberghiero con hotel in almeno sette paesi Europei e un paese del Medio oriente, che vengono inviati messaggi di posta elettronica progettato per compromettere reti.

I messaggi contengono un documento dannoso “Hotel_Reservation_From.doc” contenente una macro che, se eseguita correttamente, la decodifica e la distribuzione di “pesci grossi” – che i ricercatori descrivono come APT28 firma del malware.

Una volta GameFish è installato in rete, utilizza EternalBlue per i vermi la sua strada attraverso la rete e trovare i computer responsabile per il controllo di entrambe le camere interne e reti Wi-Fi. Una volta che il controllo di queste macchine, il malware distribuisce un open source Risponditore strumento, permettendo così di rubare le credenziali inviate tramite la rete wireless.

Mentre l’attacco è portato contro la rete, come tutto, FireEye suggerisce che “gli ospiti di interesse potrebbe essere direttamente mirati anche” — il governo e le imprese di personale in precedenza hanno avuto un grande interesse per APT28.

I ricercatori di notare che in un incidente, la vittima è stata compromessa dopo la connessione a una rete di hotel, ma che gli attaccanti non prendere immediatamente l’azione — hanno aspettato 12 ore prima dell’accesso remoto ai sistemi. Tuttavia, il login origine dalla stessa subnet che indica che l’attaccante macchina era fisicamente vicino alla vittima e sulla stessa rete Wi-Fi.

La tecnica sfrutta fattore di autenticazione utente, utilizzando l’autenticazione a due fattori rende più difficile per gli hacker per entrare nel mirati conti.

Questi attacchi contro gli alberghi Europei – che FireEye hanno attribuito a APT28 con “moderata fiducia” – una serie di somiglianze con un altro diploma di hacking e cyberespionage campagna contro il settore dell’ospitalità, noto come DarkHotel.

Il gruppo dietro DarkHotel compromette anche l’hotel connessioni Wi-Fi e si combina con la lancia gli attacchi di phishing compromettere gli obiettivi specifici.

Tuttavia, FireEye dice che le due campagne non sono collegati e che DarkHotel, noto anche come Fallout Team — sembra essere il lavoro di un “penisola coreana-nexus cyber spionaggio attore” e non APT28.

“Mentre il precedente targeting delle vittime mediante l’hotel Wi-Fi pubblico da Fall-out di Squadra è simile all’ultima APT28 campagna, questi sono due attori conduzione di operazioni per interessi di sicurezza nazionale a sostegno delle loro rispettive stato sponsor”, ha detto Kittner.

“Inoltre, ci sono differenze tecniche tra il modo in cui ogni attore condotto il loro funzionamento. Fallout Team ha presentato falsi aggiornamenti software per gli utenti, mentre APT28 è ottenere password e la connessione Wi-Fi gratuita traffico”, ha aggiunto.

FireEye avverte che pubblicamente accessibili le reti Wi-Fi presenti una minaccia significativa e “deve essere evitato quando è possibile”.

Con la release pubblica di EternalBlue sfruttare, purtroppo, non è una sorpresa che gruppi di hacker stanno cercando di sfruttare e di altri Vault7 perdite per il loro profitto.

Mentre l’idea di questi exploit utilizzato per sovralimentare i cyber criminali è male, nelle mani di un avanzato stato-backed attori come APT28, il malware potrebbe fare ancora più danni.

Precedente copertura

Cinque Stelle hacker: hotel High-end ladri di dati tornare a funzionari del governo

Il DarkHotel gruppo di hacker è tornato, ma questa volta si sta concentrando su un target diverso, utilizzando un nuovo ceppo di Inexsmar malware.

Gli hacker utilizzano hotel Wi-Fi per spiare gli ospiti, rubare i dati

Il DarkHotel gruppo di hacker è tornato, ma questa volta si sta concentrando su un target diverso, utilizzando un nuovo ceppo di Inexsmar malware.

PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA

Cyberwar: La persona intelligente guida [TechRepublic]WannaCry: Perché questo ransomware non morirà appena Dopo WannaCry, ransomware è destinata a peggiorare prima di arrivare betterHow cybersleuths deciso che la Russia era dietro di NOI elezione hack [CNET]Ransomware: Un esecutivo a guida di una delle più grandi minacce sul web

0