0
Den APT28 hacking gruppen står bag en række angreb, men det er første gang, at det anvendes EternalBlue.
Billede: iStock
En hacking gruppen er anklaget for forbundet med at blande sig i tiden op til det AMERIKANSKE præsidentvalg er at udnytte Windows udnytte hvilket gjorde WannaCry ransomware og Petya så kraftig, — og bruge det til at udføre cyberangreb mod hoteller i Europa.
Forskere ved FireEye har tilskrives en kampagne for at fjernstyre stjæle loginoplysninger fra gæster, der bruger Wi-Fi-netværk på hoteller i Europa til at APT28-også kendt som har Lyst til at Bære — en hacking organisation, som mange virksomheder har knyttet til Ruslands militære efterretningstjeneste.
De angreb udnytter EternalBlue, en sårbarhed, som udnytter en version af Windows Server Message Block (SMB) netværksprotokol, for at lateralt spredes gennem netværk.
De udnytter, er en af mange, som angiveligt var kendt af de AMERIKANSKE efterretningstjenester, og som anvendes af den nationale sikkerhedsmyndighed for overvågning, var lækket og udgivet af Skyggen Mæglere hacking gruppen.
Med koden tilgængelig for alle at se, var det måske kun et spørgsmål om tid, før andre så ud til at udnytte det-som det fremgår af WannaCry ransomware epidemi, og den efterfølgende Petya udbrud.
En række af cyber-kriminelle grupper forsøger at bruge EternalBlue til at øge deres egen malware, men det er første gang, APT28 er blevet spottet forsøger at gøre det.
“Det er første gang, vi har set APT28 indarbejde denne exploit i deres indtrængen, og så langt, som vi mener, den variant, brugte, var baseret på den offentlige version,” Cristiana Brafman Kittner, senior analytiker hos FireEye, fortalte ZDNet.
Angrebet indledes med en spear-phishing-kampagne, som er rettet mod flere virksomheder i hotel-og restaurationsbranchen med hoteller i mindst syv Europæiske lande og et land i Mellemøsten, der er sendt e-mails til formål at kompromittere netværk.
Meddelelser indeholder et skadeligt dokument “Hotel_Reservation_From.doc” der indeholder en makro, som hvis henrettet, afkoder og anvender GameFish — som forskere beskriver som APT28 underskrift malware.
Når GameFish er installeret på netværket, der bruger EternalBlue til at sno sin vej gennem nettet og finde computere, der er ansvarlige for at kontrollere både gæst og intern Wi-Fi-netværk. Når i kontrol af disse maskiner, malware anvender et open source-Responder værktøj, gør det muligt at stjæle alle legitimationsoplysninger, der sendes via det trådløse netværk.
Mens angrebet er udført over nettet som helhed, FireEye tyder på, at “hotellets gæster af interesse kan være direkte rettet så godt” — regeringen og erhvervslivet personale har tidligere været af interesse at APT28.
Forskere bemærk, at i en hændelse, et offer blev kompromitteret, når du tilslutter til et hotel netværk, men at angriberne ikke straks skride til handling-de har ventet i 12 timer, før fjernadgang til systemerne. Men det login, som stammer fra den samme undernet, der angiver, at angriberen maskine, der var fysisk tæt på offeret, og på samme Wi-Fi-netværk.
Den teknik, der også udnytter enkelt faktor brugergodkendelse — ved hjælp af to-faktor autentificering, der gør det sværere for hackere at bryde ind i målrettede konti.
Disse angreb mod Europæiske hoteller – som FireEye har tilskrives APT28 med “moderat tillid” – de har en række ligheder med en anden avanceret hacking og cyberespionage kampagne mod restaurationsbranchen, kendt som DarkHotel.
Gruppen bag DarkHotel også kompromiser hotel Wi-Fi-forbindelser og kombinerer det med spear phishing-angreb til at gå på kompromis specifikke mål.
Men FireEye, siger de to kampagner ikke er linkede, og at DarkHotel-også kendt som Fallout Team — ser ud til at være udført af en “koreanske halvø-nexus cyber spionage skuespiller” og ikke APT28.
“Mens den tidligere målretning af ofre gennem hotellet offentlige Wi-Fi ved Nedfald Team er magen til det seneste APT28 kampagne, det er to forskellige aktører, der gennemfører operationer for nationale sikkerhedsinteresser i støtte af deres respektive medlemsstat sponsor,” sagde Kittner.
“Yderligere, at der er tekniske forskelle mellem, hvordan de enkelte aktører gennemført deres drift. Fallout Team præsenteret falske software opdateringer til brugerne, mens APT28 er at få adgangskoder fra Wi-Fi-trafik,” tilføjede hun.
FireEye advarer om, at offentligt tilgængelige Wi-Fi-netværk, som udgør en væsentlig trussel og “bør undgås, når det er muligt”.
Med den offentlige version af EternalBlue udnytte, det er desværre ikke overraskende, at grupper af hackere søger at udnytte dette og andre Vault7 lækager til deres egen vinding.
Mens ideen om disse exploits bliver brugt til at effektivisere cyber kriminelle bander er dårlig, i hænderne på avanceret state-backed aktører, som APT28, malware kunne gøre endnu mere skade.
Tidligere dækning
Fem-Stjernede hackere: High-end-hotel data tyve vende tilbage til mål embedsmænd
Den DarkHotel hacking gruppen er vendt tilbage-men denne gang de er med fokus på forskellige målgrupper, ved hjælp af en ny stamme af Inexsmar malware.
Hackere er at bruge hotellets Wi-Fi til at spionere på gæsterne, stjæle data
Den DarkHotel hacking gruppen er vendt tilbage-men denne gang de er med fokus på forskellige målgrupper, ved hjælp af en ny stamme af Inexsmar malware.
LÆS MERE OM IT-KRIMINALITET
Cyberkrig: smart person ‘ s guide [TechRepublic]WannaCry: Hvorfor denne ransomware vil bare ikke dø Efter WannaCry, ransomware vil blive værre, før det bliver betterHow cybersleuths besluttet, at Rusland stod bag OS valget hack [CNET]Ransomware: executive-guide til en af de største trusler på nettet
0