0
Den APT28 hacka gruppen ligger bakom en rad attacker – men detta är första gången som det har använts EternalBlue.
Bild: iStock
En hacka grupp som anklagas för inblandning kopplad i upptakten till presidentvalet i USA är att utnyttja Windows utnyttja som gjorde WannaCry ransomware och Petya så kraftfullt — och använda den för att utföra it-angrepp mot hotell i Europa.
Forskare vid FireEye har tillskrivits en kampanj för att på distans stjäla inloggningsuppgifter från gäster som använder Wi-Fi-nätverk på hotell i Europa för att APT28-även känd som tycker Bära — en hacka organisation som många säkerhetsföretag har länkat till den ryska militära underrättelsetjänsten.
Attacken utnyttjar EternalBlue, ett säkerhetsproblem som använder en version av Windows Server Message Block (SMB) nätverksprotokoll för att sidan sprids genom nätverk.
Den utnyttjar, en av många som påstods vara känd av AMERIKANSKA underrättelsetjänster och används av NSA för övervakning, läckt ut och offentliggjort den Skugga Mäklare hacka gruppen.
Med kod är tillgänglig för vem som helst att se, det var kanske bara en tidsfråga innan andra såg till att utnyttja det-som framgår av WannaCry ransomware-epidemin och den efterföljande Petya utbrott.
Ett antal cyber kriminella grupper försöker använda EternalBlue för att öka sina egna skadliga program, men det är första gången APT28 har setts som försöker att göra så.
“Detta är första gången vi har sett APT28 införliva detta utnyttjar i sitt intrång, och så långt som vi tror att den variant som användes var baserad på den offentliga versionen,” Cristiana Brafman Kittner, senior analytiker på FireEye, berättade ZDNet.
Attacken börjar processen med en spear-phishing-kampanjen, som riktar sig till flera företag i besöksnäringen med hotell i minst sju Europeiska länder och ett land i Mellanöstern, som skickade e-post utformad för att äventyra nätverk.
Meddelanden som innehåller en skadlig handling “Hotel_Reservation_From.doc” som innehåller ett makro som om framgångsrikt genomförda, avkodar och distribuerar GameFish — som forskare beskriver som APT28 signatur malware.
När GameFish är installerat på nätet, använder EternalBlue att masken sin väg genom nätet och hitta datorer som ansvarar för att kontrollera både gäst och inre Wi-Fi-nätverk. En gång i kontroll av dessa maskiner, skadlig kod distribuerar ett open source-Responder verktyg, som gör det möjligt att stjäla några referenser som skickas över det trådlösa nätverket.
Medan attacken utförs mot nätverket som helhet, FireEye tyder på att “gäster har intresse kan vara direkt riktade samt” — regeringen och företagens personal har tidigare varit av intresse att APT28.
Forskarna notera att i en incident, ett offer var nedsatt efter en anslutning till ett hotell nätverk, men att angriparna inte omedelbart vidta åtgärder — de väntade på 12 timmar innan distans få tillgång till systemen. Dock logga in härstammar från samma subnät som anger att angriparen maskinen var fysiskt nära offret och på samma Wi-Fi-nätverk.
Tekniken utnyttjar också enda faktor autentisering av användare — hjälp av två-faktor autentisering gör det svårare för hackare att bryta sig in riktade konton.
Dessa attacker mot Europeiska hotell – som FireEye har hänföras till APT28 med “måttligt förtroende” – har ett antal likheter med en annan avancerade dataintrång och cyberespionage kampanj mot hotell-och restaurangbranschen, känd som DarkHotel.
Gruppen bakom DarkHotel också kompromisser hotel Wi-Fi-anslutningar och kombinerar det med spear phishing-attacker att angripa specifika mål.
Men, FireEye säger de två kampanjer som inte är kopplade och att DarkHotel-även känd som Fallout Team-ser ut att vara ett verk av en “koreahalvön-nexus it-spionage skådespelare” och inte APT28.
“Medan den tidigare inriktningen av offer genom hotellet offentliga Wi-Fi-genom att Fallout Team är liknande till den senaste APT28 kampanj, dessa är två olika aktörer som bedriver verksamhet för nationella säkerhetsintressen i stöd av sina respektive stat sponsor,” sade Kittner.
“Ytterligare, det finns tekniska skillnader mellan hur varje aktör har genomfört sin verksamhet. Fallout Laget fram falska uppdateringar till användare, medan APT28 är att få lösenord från Wi-Fi-trafik”, tillade hon.
FireEye varnar för att offentligt tillgängliga Wi-Fi-nätverk utgör ett betydande hot och “bör undvikas när det är möjligt”.
Med offentliggörande av EternalBlue utnyttja, det är tyvärr inte förvånande att hacka grupper är ute efter att utnyttja denna och andra Vault7 läckor för sin egen vinning.
Även idén om dessa bedrifter som används för att förbättra it-kriminella gäng som är dåligt, i händerna på avancerad statligt stödda aktörer som APT28, malware skulle kunna göra ännu mer skada.
Tidigare täckning
Fem-Stjärniga hackare: High-end hotel uppgifter tjuvar återgå till mål regeringstjänstemän
Den DarkHotel hacka gruppen har återvänt-men den här gången är att fokusera på olika mål, med hjälp av en ny stam av Inexsmar malware.
Hackare använder hotel Wi-Fi för att spionera på gäster, stjäla data
Den DarkHotel hacka gruppen har återvänt-men den här gången är att fokusera på olika mål, med hjälp av en ny stam av Inexsmar malware.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Cyberkrig: smart person ‘ s guide [TechRepublic]WannaCry: Varför denna ransomware bara inte kommer att dö Efter WannaCry, ransomware kommer att bli värre innan det blir betterHow cybersleuths beslutat att Ryssland låg bakom valet i USA hack [MAG]Ransomware: En verkställande guide till en av de största hot på webben
0