Не ходите в Darkhotel

«Лаборатория Касперского» обнародовала сведения об обнаруженной ею кампании кибершпионажа. Ее назвали Darkhotel, поскольку хакеры распространяли вредоносное программное обеспечение, в том числе, через беспроводные сети элитных отелей, стараясь заражать устройства высокопоставленных менеджеров. Также вредонос передавали с помощью сообщений электронной почты и через торренты.

Как утверждается, атака была целенаправленной, но «Лаборатория» не указывает ни ее конкретную цель, ни даже область индустрии, на которую она была направлена. «Данная атака – не просто таргетированная, это – точно просчитанная операция. Однако наряду с такой хирургической точностью мы наблюдаем классические почтовые рассылки и вовсе нецелевое распространение троянца через файлообменные сети – скорее всего, злоумышленники решали сразу несколько задач в рамках одной кампании», – приводятся в пресс-релизе слова Виталия Камлюка, ведущего антивирусного эксперта «Лаборатории Касперского».

Однако по мнению Макса Гончарова, старшего вирусного аналитика Trend Micro, атаку сложно отнести к классу целенаправленных. «Во-первых, она, думаю, – вовсе не целенаправленная, – говорит Гончаров. – Только в нашей базе я нашел более сотни различных семплов, которые могут быть связаны с данной кампанией. Это – массовая атака, и не только на гостиницы. Во-вторых, я не уверен, что все действия предпринимала одна и та же группа. В-третьих, ребята, которые осуществляли атаку, плохо знакомы с веб-уязвимостями. Их корневые серверы порой имеют кучу дыр – вплоть до конфигурации Apache, позволяющей просматривать содержимое папок. Согласитесь, это довольно забавно для целевой атаки.»

Собственно, и в пресс-релизе «Лаборатории» указано, что «запуск инсталлятора приводил к установке бэкдора, который помогал киберпреступникам оценивать степень их интереса к жертве и необходимость доставки более сложных инструментов». Значит, заражение происходило еще до оценки уровня интереса к объекту, а для целевой атаки характерно прямо противоположное: есть заказ на определённую жертву, и хакеры пытаются всеми силами узнать о ней как можно больше. «Если бы мне как хакеру нужно было предпринять атаку на высокопоставленного менеджера, остановившегося в определенном отеле, и имелся необходимый бюджет, – говорит Макс Гончаров, – то я, скорее, подъехал бы к гостинице с набором антенн и получил практически стопроцентный результат – в отличие от взлома сети отеля.»

Похоже, атака, действительно, классифицирована не очень правильно. Для вторжений такого типа уже несколько лет используется название «атака на китов». Правда, изначально это наименование относилось лишь к взломам веб-сайтов, на которых высший менеджмент обсуждал свои проблемы, и к установке на них вредоносных кодов. Но при заражении вредоносами через гостиничную сеть Wi-Fi эксплуатируется та же слабость защиты компьютеров высших руководителей, которые не всегда готовы соблюдать ограничения, навязываемые службой ИБ. При этом учётные записи генеральных директоров имеют достаточно большие полномочия, что упрощает атаку на информационные сети компаний.

Атаки на высшее руководство в гостиницах опасны тем, что ИБ-отдел в состоянии сделать для их предотвращения лишь чуть больше, чем ничего. «Если руководители – на выезде, то служба безопасности мало что может,» – сетует председатель правления компании «Анкад» Владимир Гайкович. Проблему обучения руководства отмечает и Рустем Хайретдинов, генеральный директор ApperCut: «Сотрудникам службы безопасности следует озаботиться не только установкой средств защиты на ноутбуках топ-менеджеров, но и инструктажем высокопоставленных пользователей о безопасном поведении в недоверенных сетях».

Эксперт BISA Андрей Прозоров рекомендует руководству исполнять следующие простые правила:

А Макс Гончаров вообще не советует руководителям использовать общедоступные сети Wi-Fi. «Был я недавно в Корее и заметил интересную тенденцию: многие руководители компаний уже не пользуются общедоступными Wi-Fi, – делится он опытом. – Они выходят в Интернет через 4G-маршрутизаторы с подключением устройств по локальной Wi-Fi-сети со случайным именем. При этом для маршрутизатора, как правило, применяется отдельная SIM-карта без голоса, и найти ее владельца без связей у оператора весьма сложно». Таким образом, без решения проблем защиты технология общедоступного Wi-Fi может просто выйти из употребления, уступив место классической мобильной связи 4-го поколения, в которой обеспечение безопасности является неотъемлемой частью самой технологии.