Darkhotel - Kaspersky Lab – Newsroom Europe.

Pressemitteilung: Darkhotel: Kaspersky Lab warnt vor Spionageangriff
auf Geschäftsreisende
Darkhotel: Kaspersky Lab warnt vor
Spionageangriff auf Geschäftsreisende
APTs über Hotel-WLANs; deutsche Nutzer von begleitenden Angriffen betroffen
Moskau/lngolstadt, 10. November 2014
Kaspersky Lab hat die Spionagekampagne „Darkhotel“ [1] enttarnt, bei der seit mindestens
vier Jahren gezielt sensible Daten von geschäftlich reisenden Führungskräften gestohlen
wurden. Darkhotel zielt auf Gäste von Luxus-Hotels ab. Die Hintermänner gehen hierbei
äußerst präzise vor. Bei einem einmaligen Zugriff über das WLAN des kompromittierten Hotels
werden alle wertvollen Daten eingesammelt. Anschließend löschen die Angreifer alle Spuren,
ziehen sich zurück und warten auf das nächste hochrangige Opfer. Der Fokus der DarkhotelAttacken liegt auf reisenden Topmanagern aus den USA und Asien, die geschäftlich im
Asiatisch-Pazifischen Raum unterwegs sind – beispielsweise CEOs, hochrangige Manager,
Vertriebs- und Marketingleiter sowie Führungskräfte aus dem Bereich Forschung und
Entwicklung. Neben dem Ausspähen von Hotelgästen setzt die Darkhotel-Gruppe auch auf
Spear-Phishing- und Filesharing-Server-Attacken, bei denen auch deutsche Opfer betroffen
waren. Die Kampagne ist nach wie vor aktiv.
Die Darkhotel-Hintermänner verfügen über eine Reihe effektiver Eingriffsmöglichkeiten in HotelNetzwerke, mit denen sie über die Jahre umfangreichen Zugang auch zu privat oder sicher
geglaubten Systemen hatten. Wenn sich ein Opfer nach dem Hotel-Check-in mit dem Hotel-WLAN
verbindet und seine Zimmernummer sowie seinen Nachnamen in die Login-Maske eingibt, werden die
Angreifer des kompromittierten drahtlosen Netzwerks aktiv. Sie verleiten das anvisierte Opfer dazu,
ein Backdoor-Programm herunterzuladen und zu installieren, das sich als Update für eine
Standardsoftware wie Google Toolbar, Adobe Flash oder Windows Messenger ausgibt. Tatsächlich
infiziert der ahnungslose Manager seinen eigenen Rechner mit der Darkhotel-Spionagesoftware [2, 3].
Ist das Backdoor-Programm auf einem System installiert, können damit weitere fortschrittliche
Diebstahl-Werkzeuge auf den infizierten Rechner geladen werden, dazu zählen ein hochentwickelter
digital signierter Keylogger, der Trojaner „Karba“ sowie ein Informationen stehlendes Modul. Diese
Tools sammeln Daten über das System und die darauf installierte Antivirensoftware, lesen alle
Tastaturanschläge mit und suchen nach in Firefox, Chrome sowie im Internet Explorer gespeicherten
Passwörtern; ebenso wie nach Zugangsdaten für Gmail Notifier, Twitter, Facebook, Yahoo! und
Google sowie weiteren privaten Daten. Die Folge: Der Abfluss sensibler Informationen wie das
geistige Eigentum der vom Opfer repräsentierten Geschäftseinheit. Nach der Operation „reinigen“ die
Angreifer das Hotelnetzwerk sorgfältig von ihren Werkzeugen und verbergen sich wieder im
Hintergrund.
„In den vergangenen Jahren konnte eine Gruppe namens Darkhotel zahlreiche erfolgreiche Attacken
gegen hochrangige Einzelpersonen durchführen. Dabei kamen Methoden und Techniken zum
Einsatz, die weit über das Repertoire klassischer Cyberkrimineller hinausgehen“, so Kurt
Baumgartner, Principal Security Researcher bei Kaspersky Lab. „Die Hintermänner von Darkhotel
Pressemitteilung: Darkhotel: Kaspersky Lab warnt vor Spionageangriff
auf Geschäftsreisende
besitzen nicht nur operative Kompetenz, sondern auch mathematische und kryptografische
Kenntnisse sowie weitere Ressourcen, mit denen sie kommerzielle Netzwerke missbrauchen und
bestimmte Opfer mit strategischer Präzision angreifen können.“
Kombination zielgerichteter und wahlloser Angriffe
Die Darkhotel-Kampagne scheint inkonsistent zu sein: Zum einen wird Schadsoftware willkürlich
verbreitet und zum anderen werden hochrangige Personen direkt attackiert.
„Die Kombination zielgerichteter und wahlloser Angriffe wird in der APT-Szene [4] zunehmend üblich.
Zielgerichtete Attacken werden eingesetzt, um hochprofilierte Opfer zu kompromittieren. Operationen
im Botnet-Stil dienen der Massenüberwachung oder führen Aufgaben wie DDoS-Angriffe auf
gegnerische Parteien aus.“, ergänzt Baumgartner.
Neben der Cyberspionagekampagne auf hochrangige Geschäftsreisende in Luxus-Hotels, führen die
Darkhotel-Akteure auch gezielte Spear-Phishing-Angriffe via E-Mail sowie Infektionen über Peer-toPeer-Netzwerke durch. Die Experten von Kaspersky Lab identifizierten hierbei Opfer aus der ganzen
Welt, darunter auch aus Deutschland [weitere Informationen in der Analyse, 1] .
Weitere Erkenntnisse zur Darkhotel-Kampagne sind:



Spuren eines Strings innerhalb des von den Angreifern genutzten schädlichen Codes deuten
auf koreanisch-sprachige Täter hin.
Die Lösungen von Kaspersky Lab erkennen und neutralisieren das schädliche DarkhotelProgramm sowie alle Varianten.
Kaspersky Lab arbeitet derzeit mit relevanten Organisationen zusammen, um das Problem zu
entschärfen.
Wirtschaftsspionage im Hotel vermeiden
Geschäftsreisende sollten grundsätzlich jedem Netzwerk misstrauen, auch halbprivaten in Hotels. Der
Darkhotel-Fall steht beispielhaft für eine aufkommende Angriffsart. Einzelpersonen, die im Besitz
wertvoller Informationen sind, können zum Opfer der Darkhotel-Kampagne (weil noch aktiv) oder von
ähnlichen Angriffen werden. Kaspersky Lab rät zu folgenden Vorsichtsmaßnahmen [5]:

Beim Zugang von öffentlichen oder halböffentlichen WLANs ermöglichen VPNs (Virtual
Private Networks) einen verschlüsselten Kommunikationskanal;

Gerade auf Reisen sollte man Software-Updates gegenüber skeptisch sein. Nutzer sollten
daher immer darauf achten, dass der angebotene Update Installer von einem offiziellen
Anbieter signiert ist;

Eine Internetsicherheitslösung mit proaktiven Schutztechnologien schützt besser vor neu
aufkommenden Gefahren als ein reiner Antivirenschutz;

Weitere Datenschutztipps können auf der interaktiven Seite „Be cybersmart: Your guide to
safety facts & tips“ unter http://cybersmart.kaspersky.com/privacy abgerufen werden.
Pressemitteilung: Darkhotel: Kaspersky Lab warnt vor Spionageangriff
auf Geschäftsreisende
Ein Blogbeitrag sowie ein kompletter Untersuchungsbericht über Darkhotel ist unter
http://www.viruslist.com/de/weblog?weblogid=207320052 abrufbar.
Ein Video zu Darkhotel steht unter http://youtu.be/4bNit5COBRI zur Verfügung.
Zwei begleitende Darkhotel-Infografiken sind unter den folgenden Links einsehbar:


[1]
Infografik „The Darkhotel Attackls on Business Executives“:
http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/KasperskyInfografik_Darkhotel_2_Infection_stepbystep_ENG.png
Infografik „The Darkhotel APT Attacks“:
http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/KasperskyInfografik_Darkhotel_1_Tips_ENG.png
http://www.viruslist.com/de/weblog?weblogid=207320052
[2]
siehe Infografik http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/KasperskyInfografik_Darkhotel_2_Infection_stepbystep_ENG.png
[3]
siehe Video http://youtu.be/4bNit5COBRI
[4]
Advanced Persistent Threat: http://de.wikipedia.org/wiki/Advanced_Persistent_Threat
[5]
siehe auch Infografik http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/KasperskyInfografik_Darkhotel_1_Tips_ENG.png
Nützliche Links:





Blog und Report zu Darkhotel: http://www.viruslist.com/de/weblog?weblogid=207320052
Darkhotel-Video: http://youtu.be/4bNit5COBRI
Infografik „The Darkhotel Attackls on Business Executives“:
http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/KasperskyInfografik_Darkhotel_2_Infection_stepbystep_ENG.png
Infografik „The Darkhotel APT Attacks“:
http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/KasperskyInfografik_Darkhotel_1_Tips_ENG.png
Seite „Be cybersmart: Your guide to safety facts & tips“:
http://cybersmart.kaspersky.com/privacy
Über Kaspersky Lab
Kaspersky Lab ist der weltweit größte, privat geführte Anbieter von Endpoint-Sicherheitslösungen. Das Unternehmen zählt zu
den vier erfolgreichsten Herstellern von Sicherheitslösungen für Endpoint-Nutzer.* In seiner über 17-jährigen
Unternehmensgeschichte hat Kaspersky Lab zahlreiche Innovationen im Bereich IT-Sicherheit auf den Weg gebracht und bietet
effektive digitale Sicherheitslösungen für Großunternehmen, KMU und Heimanwender. Kaspersky Lab, mit Holding in
Großbritannien, ist derzeit in rund 200 Ländern auf der ganzen Welt vertreten und schützt über 300 Millionen Nutzer weltweit.
Pressemitteilung: Darkhotel: Kaspersky Lab warnt vor Spionageangriff
auf Geschäftsreisende
Weitere Informationen zu Kaspersky Lab finden Sie unter http://www.kaspersky.com/de/. Kurzinformationen erhalten Sie zudem
über www.twitter.com/Kaspersky_DACH und www.facebook.com/Kaspersky.Lab.DACH. Aktuelles zu Viren, Spyware, Spam
sowie Informationen zu weiteren IT-Sicherheitsproblemen und -Trends sind unter www.viruslist.de und auf dem Kaspersky-Blog
auf http://blog.kaspersky.de/ abrufbar.
* The company was rated fourth in the IDC rating Worldwide Endpoint Security Revenue by Vendor, 2012. The rating was published in
the IDC report "Worldwide Endpoint Security 2013–2017 Forecast and 2012 Vendor Shares (IDC #242618, August 2013). The report
ranked software vendors according to earnings from sales of endpoint security solutions in 2012.
Redaktionskontakt:
essential media GmbH
Florian Schafroth
[email protected]
Tel.: +49-89-7472-62-43
Fax: +49-89-7472-62-17
Landwehrstraße 61
80336 München
Kaspersky Labs GmbH
Stefan Rojacher
[email protected]
Tel.: +49-841-98-189-325
Fax: +49-841-98-189-100
Despag-Straße 3
85055 Ingolstadt
© 2014 Kaspersky Lab. The information contained herein is subject to change without notice. The only warranties for Kaspersky
Lab products and services are set forth in the express warranty statements accompanying such products and services. Nothing
herein should be construed as constituting an additional warranty. Kaspersky Lab shall not be liable for technical or editorial
errors or omissions contained herein.