Il Gruppo hacker APT28 colpisce il settore dell’Hospitality, minaccia i dati sensibili dei viaggiatori e con i dati ottenuti attacca l’IT aziendale
FireEye, azienda di Intelligence Led Security, ha segnalato di aver rilevato una campagna malevola che ha avuto come obiettivo il settore dell’Hospitality.
L’azienda americana di security ritiene che questa campagna possa essere attribuita all’attore russo APT28, avendo rilevato, dopo opportune verifiche, che essa risale almeno a luglio 2017 ed è stata attuata per essere rivolta ai viaggiatori degli hotel di tutta Europa e del Medio Oriente.
Il Gruppo, evidenzia, ha utilizzato diverse notevoli tecniche di rilievo in questi incidenti, come ad esempio “fiutare” le password dal traffico Wi-Fi, deviare il traffico NetBIOS Name Service e spostarsi lateralmente in rete utilizzando l’exploit EternalBlue.
FireEye, a seguito delle sue indagini, ha scoperto anche un documento dannoso di spear phishing che è stato inviato nella posta elettronica di molte aziende del settore hospitality, compresi hotel in almeno sette paesi europei e uno del Medio Oriente all’inizio di luglio. L’esecuzione riuscita della macro presente all’interno del documento infetto avrebbe comportato l’installazione del malware GAMEFISH firmato dal gruppo APT28.
Più preoccupante ancora è che APT28 sta continuamente evolvendo le tecniche basate su exploit EternalBlue e sullo strumento opensource Responder per muoversi lateralmente attraverso le reti e colpire i viaggiatori.
Una volta compromessa la rete di una società alberghiera, il Gruppo APT28 ha cercato macchine che controllavano sia le reti Wi-Fi interne che quelle degli ospiti. Negli alberghi che sono stati compromessi non sono state rubate le credenziali degli ospiti; tuttavia, in un separato incidente che si è verificato nell’autunno 2016, APT28 ha ottenuto l’accesso iniziale alla rete di una vittima tramite credenziali probabilmente rubate da una rete Wi-Fi di un hotel.
Una volta ottenuto l’accesso ai computer connessi alle reti Wi-Fi aziendali e degli ospiti, APT28 ha diffuso Responder, uno strumento per il poisoning del servizio NetBIOS Name Service.
Questa tecnica, spiega FireEye, si basa sull’ascolto dell’attività di broadcast NBT-NS (UDP/137) dai computer delle vittime che tentano di connettersi alle risorse di rete.
Ricevuta la trasmissione, Responder impersona la risorsa cercata e spinge il computer della vittima ad inviare il nome utente e la password alla macchina controllata dall’attaccante.
APT28 ha utilizzato tale tecnica per carpire nome utente e valore hash della password, procedendo a un escalation dei privilegi sulla macchina della vittima.
«Per diffondersi attraverso la rete aziendale alberghiera, APT28 ha utilizzato una versione dell’exploit EternalBlue SMB che è stato combinato con il pesante utilizzo di py2exe per compilare script Python. Questa è la prima volta che abbiamo notato l’APT28 incorporare questo exploit nella loro attività di intrusione», ha osservato Marco Rottigni, Consulting System Engineer Southern Europe di FireEye.
In sostanza, i nuovi attacchi rilevati delineano un nuovo vettore di infezione utilizzato dal gruppo APT28, che sta sfruttando le reti Wi-Fi meno sicure degli hotel per rubare le credenziali e uno strumento di poisoning del NetBIOS Name Service per scalare i privilegi.
Il suggerimento di FireEye? I viaggiatori, soprattutto i manager di aziende che nei loro pc hanno dati anche molto sensibili, devono essere consapevoli delle minacce possibili durante i viaggi, specialmente all’estero, e prendere le dovute precauzioni per proteggere i loro sistemi e i loro dati. Le reti Wi-Fi accessibili al pubblico rappresentano una minaccia significativa e il loro utilizzo dovrebbe essere evitato quando possibile.