Хакеры грабят постояльцев в отелях

TravelWeekly, 17.08.2017

Хакерская группировка Fancy Bear, или APT28, которую мировые СМИ нередко называют прокремлевской и обвиняют в атаке на американские президентские выборы, снова вышла из тени. На этот раз целью киберпреступников стали объекты гостиничного бизнеса с помощью фишинговых e-mail злоумышленники получают доступ к внутренней системе отеля, контролирующей Wi-Fi-сети.Как сообщают исследователи группыFireEye, обнаружившие угрозу, от действий Fancy Bear уже пострадали по меньшей мере семь европейских и один ближневосточный отель. При взломе хакеры используют эксплойт Windows под названием EternalBlue тот самый, который помог осуществить кибератаки вирусами WannaCry и Petya.EternalBlue продолжает вредитьС помощью эксплойта, выложенного в общий доступ группировкой Shadow Brokers, хакеры крадут личные данные постояльцев отелей через Wi-Fi. Атака начинается с фишингового электронного письма, содержащего зараженный файл Microsoft Word, который называется Hotel_Reservation_Form.doc.Внутри документа находится макрос, который запускает установку вредоносной программы GameFish ее называют визитной карточкой Fancy Bear.Таким образом, FireEye приписывает атаку известной группировке со средним уровнем уверенности.Когда GameFish попадает в сеть, он использует EternalBlue, чтобы обнаружить компьютеры, контролирующие и гостевой, и внутренний Wi-Fi отеля. После того как зловред получает контроль над системой, он перехватывает все логины и пароли, передаваемые по беспроводному соединению.Эксперты FireEye отмечают, что атака направлена на всю систему Wi-Fi целиком, но может быть инициирована ради данных конкретных гостей ранее члены правительств и известные бизнесмены уже становились целями Fancy Bear. Представитель компании Бен Рид подтвердилMotherboard, что хакеры атаковали популярные сетевые , в которых можно ожидать наличие выдающихся постояльцев, но отказался раскрыть личности пострадавших.Техника хакерской группировки также эксплуатирует однофакторную идентификацию в сети двухфакторная идентификация, например, при вводе пароля и последующем подтверждении с помощью специального кода или смартфона, затрудняет доступ к данным для злоумышленников.FireEye напомнила, что публичные сети Wi-Fi представляют собой значительную угрозу безопасности данных и рекомендуют избегать их использования когда это возможно.Кроме того, эксплойт EternalBlue все еще находится в открытом доступе и уже был использован в двух мировых кибератаках. Он может быть опасен в руках хакеров-одиночек, но при использовании крупными группировками, спонсируемыми государством, может принести еще больший вред.Что случается в отелях попадает к хакерамИсследователи по кибербезопасности заявляют, что хакерские атаки на в основном направлены на постояльцев, а не на индустрию. Зачастую бизнесмены проводят финансовые операции, находясь вне домашнего офиса, а во время деловых поездок в гостинице в личном номере или конференц-центре, но при этом они не всегда знают о возможных рисках утечки.Fancy Bear были не первыми хакерами, нацелившимися на . Ранее южнокорейская группировка Fallout Team запустила целую кампанию по кибершпионажу, которая получила название DarkHotel. Они точно так же заражали Wi-Fi-сети в отелях Азии и выискивали одиночные цели, представляющие интерес.Несмотря на то что атаки Fallout Team напоминают то, что делает Fancy Bear, это два отдельных актора, действующих в рамках национальных интересов своих государств-спонсоров, заявила в интервью изданию ZDnet старший аналитик FireEye Кристиана Брафман Киттнер.Киттнер добавила, что эти две группировки действуют по-разному южнокорейские хакеры маскируют зловред под обновления софта, а Fancy Bear получают пароли напрямую из Wi-Fi-трафика.В 2015 году была проведена еще одна хакерскаяатакас участием отелей тогда вирус Duqu 2.0 распространился в гостиницах, в которых остановились участники переговоров по иранской ядерной программе Группы 5+1.gazeta.ru

Источник

Материалы по теме