Hacker sind jetzt unter Verwendung der exploit hinter WannaCry auf snoop hotel Wi-Fi

0
187

0

istock-hands-of-a-hacker.jpg

Die APT28 Hacker-Gruppe hinter einer Zeichenfolge von Angriffen – aber dies ist das erste mal, es hat EternalBlue.

Bild: iStock

Eine Hacker-Gruppe, die beschuldigt verlinkten Einmischung im Vorfeld der US-Präsidentschaftswahl ist die Nutzung der Windows-Schwachstelle, die aus WannaCry ransomware und Petya so mächtig sind-und es verwenden, um durchzuführen Cyberattacken gegen hotels in Europa.

Forschern bei FireEye haben zugeschrieben, eine Kampagne zur Remote-Anmeldeinformationen stehlen von Gästen über Wi-Fi-Netzwerke in hotels in Europa, die APT28-auch bekannt als Fancy zu Tragen — eine Hacker-organisation, die viele Sicherheits-Unternehmen verbunden haben, um Russlands militärischen Nachrichtendienstes.

Der Angriff nutzt EternalBlue, eine Sicherheitslücke, die nutzt eine version von Windows ” Server Message Block (SMB) Netzwerk-Protokoll, um seitlich zu verbreiten durch Netzwerke.

Der exploit, einer von vielen die angeblich bekannt durch die US-Geheimdienste und wird von der NSA für überwachung, zugespielt und veröffentlicht von der Shadow Broker Hacker-Gruppe.

Mit dem code für jedermann zu sehen war es vielleicht nur eine Frage der Zeit, bis andere suchten nutzen es — wie dies durch die WannaCry ransomware-Epidemie und die anschließende Petya Ausbruch.

Eine Reihe von cyber-kriminellen Gruppen versuchen, diese zu verwenden EternalBlue zur Stärkung Ihrer eigenen malware, aber es ist das erste mal APT28 gesichtet worden, die versuchen, so zu tun.

“Dies ist das erste mal, dass wir gesehen haben, APT28 integrieren diese ausnutzen, in Ihre Einfälle, und so weit, wie wir glauben, wird die Variante verwendet wurde, basiert auf der public-version” Cristiana Brafman Kittner, senior analyst bei FireEye, sagte zu ZDNet.

Der Angriff beginnt mit einer spear-phishing-Kampagne, welche Ziele sich mehrere Unternehmen in der Hotellerie mit hotels, die in mindestens sieben europäischen Ländern und einem Land im Nahen Osten, die gesendeten E-Mails entwickelt, um Kompromiss-Netzwerke.

Die Nachrichten enthalten eine böswillige Dokument “Hotel_Reservation_From.doc” mit einem makro, welches, wenn erfolgreich ausgeführt, dekodiert und setzt Fisch — was die Forscher beschreiben als APT28 Unterschrift malware.

Einmal Fisch ist auf dem Netzwerk installiert ist, verwendet es EternalBlue “Wurm” seinen Weg durch das Netz und Suche nach Computern verantwortlich für die Kontrolle sowohl von Gästen als auch interne Wi-Fi-Netzwerke. Sobald die Kontrolle über diese Maschinen, die malware nutzt eine open-source-Responder-tool, so dass es zu stehlen von Anmeldeinformationen gesendet über das drahtlose Netzwerk.

Während der Angriff durchgeführt wird, gegen das Netzwerk als ganzes, FireEye deutet darauf hin, dass “hotel-Gäste von Interesse, die direkt angesteuert werden können, sowie” — die Regierung und die Wirtschaft-Personal zuvor von Interesse APT28.

Forscher beachten Sie, dass in einem Fall, ein Opfer war gefährdet, nachdem Sie eine Verbindung zu einem hotel-Netzwerk, aber, dass die Angreifer nicht sofort Maßnahmen zu ergreifen-Sie warteten 12 Stunden, bevor Sie Remote-Zugriff auf die Systeme. Aber, der login stammt aus dem gleichen Subnetz anzeigt, dass der Angreifer-Maschine war physisch in der Nähe der Opfer und auf die gleiche Wi-Fi-Netzwerk.

Die Technik auch nutzt single-Faktor-Benutzer-Authentifizierung-mit zwei-Faktor-Authentifizierung macht es schwerer für die Hacker brechen in die vorgesehenen Konten.

Diese Angriffe gegen die europäischen hotels, die FireEye haben zugeschrieben APT28 mit “mittleres Selbstvertrauen” – teilen eine Reihe von Gemeinsamkeiten mit einem anderen advanced hacking und cyberespionage Kampagne gegen die hospitality-Sektor, bekannt als DarkHotel.

Die Gruppe hinter DarkHotel auch Kompromisse hotel Wi-Fi-verbindungen und kombiniert es mit spear-phishing-Angriffe zu gefährden bestimmte Ziele.

Allerdings, sagt FireEye die beiden Kampagnen sind nicht verbunden und DarkHotel-auch bekannt als Fallout-Team — sieht die Arbeit eines “koreanischen Halbinsel-nexus-cyber-Spionage-Schauspieler” und nicht APT28.

“Während die Vorherige Ausrichtung der Opfer durch hotel öffentliche Wi-Fi von Fallout Team ist ähnlich wie die jüngsten APT28-Kampagne, das sind zwei getrennte Akteure die Durchführung der Operationen für die nationalen Sicherheitsinteressen in Unterstützung von Ihren jeweiligen staatlichen sponsor”, sagte Kittner.

“Darüber hinaus gibt es technische Unterschiede zwischen dem, wie jeder Schauspieler führten Ihre operation. Fallout-Team präsentiert gefälschte software-updates, um Benutzer während APT28 ist immer die Passwörter von Wi-Fi-Verkehr,” fügte Sie hinzu.

FireEye warnt davor, dass öffentlich zugängliche Wi-Fi-Netzwerke stellen eine erhebliche Bedrohung und “sollten vermieden werden, wenn möglich”.

Mit der Veröffentlichung der EternalBlue auszunutzen, ist es leider nicht verwunderlich, dass Hacker-Gruppen suchen, zu nutzen, und andere Vault7 Leckagen zu Ihrem eigenen Vorteil.

Während die Idee, dass diese exploits genutzt, um supercharge cyber-kriminelle Banden schlecht ist, in den Händen des erweiterten state-backed Akteure wie APT28, malware könnte sogar mehr Schaden.

Bisherigen Berichterstattung

Fünf-Sterne-Hacker: High-end-hotel-Daten-Diebe zurück, um den Gegner Regierungsbeamte

Der DarkHotel Hacker-Gruppe zurückgegeben hat-aber diesmal haben Sie sich konzentriert auf ein anderes Ziel, mit einer neuen Sorte von Inexsmar malware.

Hacker sind über das hotel Wi-Fi, Spion auf die Gäste, die Daten stehlen

Der DarkHotel Hacker-Gruppe zurückgegeben hat-aber diesmal haben Sie sich konzentriert auf ein anderes Ziel, mit einer neuen Sorte von Inexsmar malware.

LESEN SIE MEHR ÜBER CYBERKRIMINALITÄT

Cyberwar: Der intelligente person ‘ s guide [TechRepublic]WannaCry: Warum diese ransomware will einfach nicht sterben Nach WannaCry, ransomware wird noch schlimmer, bevor es wieder betterHow cybersleuths entschieden, dass Russland hinter dem US-Wahl-hack [CNET]Ransomware: executive guide zu einer der größten Bedrohungen im web

0