أجرى خبراء فريق البحث والتحليل العالمي بكاسبرسكي لاب بحثا حول حملة التجسس “Darkhotel” التي كانت تنشط خلف الكواليس لأربع سنوات على الأقل، حيث كانت تقوم بسرقة البيانات الحساسة من مسؤولين رفيعي المستوى يسافرون إلى الخارج. وكانت هذه الحملة تستهدف الضحايا خلال إقامتهم في فنادق فارهة. وكان يتم استهداف الفريسة لمرة واحدة فقط: حيث كان المهاجمون يجرون بعملياتهم بدقة فائقة ويحصلون على أكبر قدر من البيانات القيمة بعد الاتصال الأول ثم يزيلون آثار عملهم ويختفون في انتظار فريسة جديدة. وشملت آخر أهداف الحملة كبار مدراء شركات من الولايات المتحدة وآسيا يديرون أعمالهم ويمارسون النشاط الاستثماري في منطقة آسيا – المحيط الهادئ: معظمهم يتقلدون مناصب مثل مدير عام، نائب أول للرئيس، مدير المبيعات والتسويق، موظف البحث والتطوير. من التالي؟ كاسبرسكي لاب تحذر: هذه الحملة لا تزال في أوجها.
كيف تتم الهجمات في الفنادق
يقوم منفذ عملية “Darkhotel” بالاستيلاء على شبكة الفندق، ويوفر إمكانية الوصول إلى الشبكة على مدى سنين حتى على الأنظمة التي اعتبرت خاصة وآمنة. وينتظر المجرمون الالكترونيون إلى حين أن تنهي الضحية إجراءات التسجيل والإقامة وتقوم بأول اتصال بشبكة Wi-Fi وإدخال رقم الغرفة والكنية عند التسجيل. وعندها يتمكن المهاجمون من متابعة الضحية عبر الشبكة المخترقة ويدفعونها إلى تحميل وتثبيت برنامج ضار يبدو على شكل تحديث لبرنامج مرخص مثل – Google Toolbar، Adobe Flash أو Windows Messenger. وتقوم الضحية بتثبيت هذه المجموعة من التحديثات لتتم إصابة جهازها ببرنامج خبيث وهو برنامج تجسس “Darkhotel”.
بعد إصابة النظام، قد يستخدم البرنامج الخبيث في تحميل أدوات سرقة أكثر تطورا: برنامج مطور لاعتراض النقرات على المفاتيح وهو حصان طروادة “Karba” ووحدة سرقة البيانات. وتقوم هذه الأدوات بجمع البيانات حول النظام وبرنامج مكافحة الفيروسات المثبت عليه، يقوم باعتراض جميع النقرات على لوحة المفاتيح ويصطاد كلمات المرور المخزنة في Firefox، Chrome، Internet Explorer، Gmail Notifier، Twitter، Facebook، Yahoo! وGoogle وغيرها من البيانات الخاصة. بهذه الطريقة تفقد الفريسة البيانات الهامة – في معظم الأحيان تكون هذه البيانات عبارة عن ملكية ذهنية للمؤسسات التي تمثلها الضحية. بعد إجراء عملية السرقة، يزيل المهاجمون أدواتهم من شبكة الفندق ويختفون.
في تعليق على هجمة “Darkhotel” قال كورت باومغاتنير، الباحث الأمني الأول بكاسبرسكي لاب: “خلال السنوات القليلة الفائتة، كانت الحملة المسماة بـ “Darkhotel” قد شنت عدة هجمات ناجحة على أشخاص رفيعي المستوى ووظفت أساليب وتكتيكات تتفوق على السلوك التقليدي للمجرمين الالكترونيين. تتمتع هذه الحملة بقدرات عملياتية، وخصائص تشفيرية- تحليلية وغيرها من الموارد القادرة على استغلال الشبكات التجارية المعروفة واستهداف فئات معينة من الضحايا بدقة فائقة”.
إلا أن النشاط الخبيث لـ “Darkhotel” قد يكون غير متناسق: إنه عشوائي في نشر البرمجيات الخبيثة إلى جانب الهجمات المستهدفة. اطلع على المزيد حول متجهات نشر البرمجيات الخبيثة هنا.
وأضاف باومغارتنير: “إن خليط الهجمات المستهدفة والعشوائية أصبح أكثر شيوعا بين الهجمات المتقدمة المنظمة، حيث توظف الهجمات المستهدفة في إصابة ضحايا رفيعي المستوى، كما أن العمليات من طراز “بوتنت” تستخدم في المراقبة أو أداء مهمات أخرى مثل شن هجمات DDoS أو تحويل الضحايا إلى أدوات تجسس أكثر تعقيدا”.
كيف يمكن تجاوز تكتيكات “Darkhotel”
خلال الرحلات، يتوجب اعتبار كل شبكة وإن كانت شبكة شبه خاصة في الفنادق على أنها خطرة. إن الوضع حول “Darkhotel” يبين ذلك: كل شخص يمتلك بيانات قيمة قد يقع ضحية لـ”Darkhotel” نفسها، كون الحملة لا تزال نشطة، أو ما يشابهها. لمنع وقوع ذلك، تنصح كاسبرسكي لاب بإتباع الخطوات التالية:
اختر موفر الشبكة الافتراضية الخصوصية (VPN) – بهذه الطريقة ستحصل على قناة اتصال مشفرة عند الاتصال بشبكة Wi-Fi عامة أو شبه عامة.
لدى السفر، اعتبر أن جميع تحديثات البرامج مريبة. تأكد من أن أداة تثبيت التحديثات تابعة لموفر خدمات مناسب.
تأكد من أن الحل الأمني يتضمن خصائص أمن استباقية من التهديدات الجديدة وليست عبارة عن حماية مكافحة للفيروسات فحسب.
للاطلاع علىالمزيد حول النصائح المتعلقة بالخصوصية، الرجاء زيارة موقع cybersmart.kaspersky.com/privacy
معلومات إضافية
لقد ترك المهاجمون بصمات على شكل شريط ضمن الشيفرة الخبيثة تشير إلى أن مصدرها يتحدث الكورية
منتجات كاسبرسكي لاب تكشف وتعطل البرمجيات الخبيثة ونسخها المستخدمة ضمن مجموعة أدوات “Darkhotel”
في الوقت الراهن تتعاون كاسبرسكي لاب مع منظمات أخرى لإيجاد حل لهذه المشكلة
لقراءة النص الكامل للتقرير حول “Darkhotel”، الرجاء زيارة موقع Securelist و يمكنك مشاهدة الفيديو هنا
