FireEye, azienda di Intelligence Led Security, questa estate ha rilevato una campagna di attacco indirizzata al settore dell’Hospitality che , l’azienda americana, ritiene possa essere attribuita al gruppo russo di hacker APT28.
L’attività di spionaggio informatico contro l’industria alberghiera è in genere focalizzata sulla raccolta di informazioni su o dagli ospiti dell’hotel piuttosto che sull’industria alberghiera stessa, anche se gli attori possono raccogliere informazioni direttamente sull’hotel come mezzo per facilitare altre operazioni.
Per esempio il personale business o governativo che viaggia, soprattutto in un paese straniero, svolge le proprie attività spesso affidatosi a sistemi diversi da quelli utilizzati nel proprio ufficio; potrebbe quindi non avere familiarità con i livelli di sicurezza di tali sistemi e il loro stato di vulnerabilità.
In particolare, FireEye ha scoperto un documento di spear phishing inviato nella posta elettronica di molte aziende del settore hospitality in almeno sette paesi europei e uno del Medio Oriente all’inizio di luglio, pensato per avviare l’installazione del malware GAMEFISH firmato dal gruppo APT28.
Una volta compromessa la rete di una società alberghiera, il Gruppo APT28 ha cercato macchine che controllavano sia le reti Wi-Fi interne sia quelle degli ospiti.
Negli alberghi che sono stati compromessi non sono state rubate le credenziali degli ospiti; tuttavia, in un separato incidente che si è verificato nell’autunno 2016, APT28 ha ottenuto l’accesso iniziale alla rete di una vittima tramite credenziali probabilmente rubate da una rete Wi-Fi di un hotel.
Una volta ottenuto l’accesso ai computer connessi alle reti Wi-Fi aziendali e degli ospiti, APT28 ha diffuso Responder, uno strumento per il poisoning del servizio NetBIOS Name Service. Questa tecnica si basa sull’ascolto dell’attività di broadcast NBT-NS (UDP/137) dai computer delle vittime che tentano di connettersi alle risorse di rete.
Ricevuta la trasmissione, Responder impersona la risorsa cercata e spinge il computer della vittima ad inviare il nome utente e la password alla macchina controllata dall’attaccante.
APT28 ha utilizzato tale tecnica per carpire nome utente e valore hash della password, procedendo a un escalation dei privilegi sulla macchina della vittima.
“Per diffondersi attraverso la rete aziendale alberghiera, APT28 ha utilizzato una versione dell’exploit EternalBlue SMB che è stato combinato con il pesante utilizzo di py2exe per compilare script Python. Questa è la prima volta che abbiamo notato l’APT28 incorporare questo exploit nella loro attività di intrusione”, ha commentato Marco Rottigni, Consulting System Engineer Southern Europe di FireEye.
I nuovi attacchi rilevati delineano un nuovo vettore di infezione utilizzato dal gruppo APT28, che sta sfruttando le reti Wi-Fi meno sicure degli hotel per rubare le credenziali e uno strumento di poisoning del NetBIOS Name Service per scalare i privilegi.
APT28 non è l’unico gruppo hacker che prende di mira i viaggiatori; anche il South Korea-nexus Fallout Team (Darkhotel) ha utilizzato aggiornamenti software su reti Wi-Fi infette in hotel asiatici e il malware Duqu 2.0 è stato trovato su network di hotel europei che sono stati utilizzati tra gli altri dai partecipanti ai negoziati nucleari iraniani.