Pošto su u javnost „procureli“ podaci iz Hacking Team-a – kompanije koja je poznata po tome što prodaje „legalne špijunske softvere“ određenim vladama i službama za sprovođenje zakona – veliki broj sajber špijunskih grupa je počeo zlonamerno da koristi alate koje je Hacking Team obezbedio za svoje korisnike i njihove napade. Ovo obuhvata nekoliko „exploit alata“ koji napadaju „Adobe Flash Player” i „Windows OS”. Bar jedan od ovih softvera je bio prerađen od strane moćne sajber špijunske grupe „Darkhotel”.
Darkhotel je elitna špijunska grupa, koju su otkrili stručnjaci kompanije Kaspersky Lab 2014. godine. Ova špijunska grupa je poznata po tome što se infiltrirala u Wi-Fi mreze luksiznih hotela kako bi kompromitovala unapred određene direktore korporacija, koristeci osetljivost nultog dana iz julske kolekcije Hacking Team-a, odmah pošto su fajlovi Hacking Team-a procureli u javnost, 5. jula. Nije poznato da li je Darkhotel klijent Hacking Team-a, ali izgleda da je ova sajber grupa dospela do njoj potrebnih fajlova kada su oni postali javni.
Ovo nije jedini nulti dan koji je ova grupa koristila, Kaspersky Lab procenjuje da ih je, u proteklih nekoliko godina, koristila 6 ili više puta, napadajući „Adobe Flash Player”, očevidno ulažući značajne sume novca za dopunu svog arsenala. U 2015. godini, „Darkhotel grupa je proširila svoj geografski domet širom sveta dok nastavlja sa napadima na ciljeve u Severnoj i Južnoj Koreji, Rusiji, Japanu, Bangladešu, Tajlandu, Indiji, Mozambiku i Nemačkoj.
Kolateralna pomoć od „Hacking Team-a”
Stručnjaci za bezbednost iz kompanije Kaspersky Lab registrovali su nove tehnike i aktivnosti Darkhotel-a. Poznata grupa je označena kao „Napredna istrajna pretnja“ (Advanced Persistant Threat (APT)) koja je aktivna već skoro 8 godina. U napadima tokom 2014. godine i ranije„Darkhotel grupa je zloupotrebila ukradene, kodom potpisivane sertifikate i koristila neuobičajene metode, kao sto je infiltracija u hotelske Wi-Fi mreze radi postavljanja špijunskih softvera na ciljane sisteme. U 2015. godini, mnoge od ovih tehnika i aktivnosti bile su korišćene, ali je kompanija Kaspersky Lab otkrila i nove varijante malicioznih izvršnih (exe) fajlova, tekuće korišćenje ukradenih sertifikata, neumorno imitiranje tehnika socijalnog inženjeringa i aktiviranje osteljivosti na „Hacking Team-ov „nulti dan“.:
- Tekuće korisćenje ukradenih sertifikata. Izgleda da Darkhotel grupa ima zalihe ukradenih sertifikata i koristi svoje backdoor i download programe koji su potpisani ovim sertifikatima, kako bi prevarili ciljane sisteme. Neki od poslednjih povučenih sertifikata obuhvataju Xuchang Hongguang Technology Co. Ltd. – kompaniju čiji su sertifikati korišćeni u prethodnim napadima drugih napadač
- Neumorno korišćenje spearphishing-a. APT Darkhotel-a je zaista uporan: pokušava da izvrši „spearphishing” na ciljanoj meti, i ako ne uspe, vraća se posle nekoliko meseci da pokuša još jednom sa gotovo istim šemama socijalnog inž
- Razvoj i širenje exploit alata nultog danaHacking Team-a. Kompromitovani sajt, tisone360.com, sadrži skup backdoor i exploit alata. Ovde je najinteresantnija osetljivost na Hacking Team-ov virus „Flash nulti dan”.
Darkhotel se vratio sa jos jednim Adobe Flash Player exploit-om alatom koji je smešten na kompromitovani sajt, i ovog puta izgleda da je korišćeno curenje podataka„Hacking Team-a. Ova grupa je prethodno isporučila drugačiji „Flash exploit” na istoj internet stranici, koji smo mi, u januaru 2014. godine označili kao “nulti dan” za „Adobe. Izgleda da je „Darkhotel istrošio veliki broj„Flash nulti dan” i “poludnevnih exploit alata“ u proteklih nekoliko godina, a možda su obezbedili više njih radi kasnijih izvođenja preciznih napada na poznate ličnosti. Iz prethodnih napada znamo da „Darkhotel špijunira direktore,zamenike predsednika, direktore za prodaju i marketing, kao i vrhunsko osoblje koje radi u sektorima za istraživanja i razvoj.” – kaže Kurt Baumgartner, Glavni istrazivač za bezbednost u kompanijiKaspersky Lab