Criminal Hacker

DarkHotel, chi sono gli Hacker del Wi-Fi e perché colpiscono gli Hotel

di Pierguido Iezzi, Swascan Cybersecurity Strategy Director |

DarkHotel è un gruppo di Criminal hacker che si affida principalmente a campagne di spear-phishing. Il loro bersaglio? Sottrarre dati sensibili dai top executive, tra cui CEO, Senior Vice-President, direttori vendite e marketing di varie organizzazioni, mentre soggiornano negli hotel di lusso.

DarkHotel è un gruppo di Criminal hacker legati alla Corea del Nord che è attivo almeno dal 2007. Si tratta di un vero e proprio omen-nomen in quanto il gruppo ha ottenuto il suo nomignolo per aver compromesso il Wi-Fi e tutte le reti di vari hotel di lusso. A seconda delle occasioni possono anche chiamarsi Tapaoux, Pioneer, Karba e Nemim.

Un solo obiettivo

Il gruppo utilizza una combinazione di metodi altamente sofisticati per intrappolare le vittime, ma gli hack alberghieri continuano ad essere un obiettivo di alto valore.

La maggior parte degli hotel colpiti si trovano in Asia, ma non mancano le strutture che sono rimaste vittime di questi attacchi anche negli Stati Uniti e in Europa.

Le vittime dei Criminal hacker sono state identificate in Corea del Nord, Russia, Corea del Sud, Giappone, Bangladesh, Thailandia, Taiwan, Cina, Stati Uniti, India, Mozambico, Indonesia e Germania.

Mentre la prima campagna di spionaggio DarkHotel è stata scoperta dagli esperti di Cyber Security alla fine del 2014.

Il Modus operandi

Questo Advanced Persistent Threat si affida principalmente a campagne di spear-phishing. Il loro bersaglio? Sottrarre dati sensibili dai top executive, tra cui CEO, Senior Vice-President, direttori vendite e marketing di varie organizzazioni, mentre soggiornano negli hotel di lusso.

Questi dirigenti di alto livello provengono principalmente dai settori manifatturiero, della difesa, dei capitali, farmaceutico, delle forze dell’ordine, dagli ranghi militari e di altri settori.

Per fare tutto questo gli aggressori sfruttano diversi metodi, compresi gli exploit zero-day per penetrare nei sistemi bersaglio.

Uno dei loro preferiti è una vulnerabilità Flash. Questo inizia il suo processo di hacking compromettendo le reti Wi-Fi.

Da qui, una volta che gli utenti si connettono alla rete, vengono rappresentati con una finestra di dialogo che chiede loro di installare un falso aggiornamento.

L’aggiornamento falso è in realtà un pezzo di malware con firma digitale.

Il Malware usato dal Gruppo nord coreano, come se non bastasse, arriva equipaggiato con svariati keylogger che sottraggono tutto il rubabile e lo trasmettono direttamente alla fonte dell’attacco.

È curioso notare come negli hotel, solitamente, queste installazioni di keylogger e malware sono distribuite in modo selettivo e a individui mirati.

Questo gruppo di Criminal Hacker sembra sapere in anticipo quando le vittime prescelte arriveranno nelle strutture dai loro hotel di lusso e in che data lasceranno l’hotel.

È questo il modus operandi degli aggressori: aspettare in attesa fino a quando le loro vittime arrivano e si connettono a Internet, come è stato efficacemente analizzato dagli esperti di Cyber Security che hanno studiato le attività di DarkHotel.

Per fare questo il gruppo di Criminal Hacker viola tutti i sistemi degli hotel che mantengono tracciate e registrare le informazioni di check-in e check-out degli ospiti. Accedendo a questo all’elenco, gli aggressori sono in grado di raccogliere informazioni sui loro obiettivi principali. Gli aggressori possono accedere, tra l’altro, a informazioni quali l’orario di arrivo e di partenza previsto della vittima, il numero di camera e il nome completo.

Oltre ad inquinare le reti peer-to-peer per infettare le masse, DarkHotel utilizza una serie di certificati digitali per estendere il perimetro del loro attacco. Il gruppo sfrutta i certificati digitali scarsamente implementati per firmare il loro malcode.

Attualmente, stanno rubando e riutilizzando altri certificati legittimi per firmare il loro set di strumenti, per lo più backdoor e info stealer. La loro infrastruttura cresce e si restringe nel tempo, senza un modello coerente di configurazione. È allo stesso tempo protetta con una crittografia flessibile dei dati e mal difesa con funzionalità deboli e mal implementate.

Gli strumenti dei Criminal Hacker

Darkhotel ha solo l’imbarazzo della scelta quando si tratta di scegliere gli strumenti e le tattiche per compromettere una rete alberghiera. Tra questi:

  • Keylogger: Visto e considerato come la maggior parte degli hotel hanno computer e reti accessibili al pubblico;
  • Malware: li utilizzano installando un semplice downloader di malware o malware sul computer dell’ospite per raccogliere informazioni;
  • Zero day
  • Spear-phishing: DarkHotel utilizza questi attacchi targhettizzati ad hoc per diffondere malware

Come arginare la minaccia

Ovviamente per ogni problema sollevato dalle azioni di DarkHotel esiste una soluzione in grado di mettere dei paletti saldi e costruire il Cyber Security Framework adeguato. In primis, se la violazione è già avvenuta il primo passo da fare è seguire una procedura di Data Recovery.

Per testare la sicurezza dei propri network che, come abbiamo illustrato, sono una delle vie principali per DarkHotel di attaccare le proprie vittime è consigliata una regolare e periodica attività di Network Scan.

Si tratta di uno scan specifico e dettagliato che analizza l’IP di un network in modo da identificare le sue vulnerabilità e punti deboli. Questo strumento può essere usato da chiunque, che sia una multinazionale con centinaia e centinaia di computer – come una grossa catena di Hotel – o che sia una piccola azienda con un network di soli pochi dispositivi.

Assicurata la “tenuta” della rete, si deve passare a un’attenta attività di Vulnerability Assessment. Si tratta di un’analisi di sicurezza che ha l’obiettivo di identificare tutti le vulnerabilità potenziali dei sistemi e delle applicazioni. Come? Valutando il danno potenziale che l’eventuale “attaccante” può infliggere all’unità produttiva. Personale altamente qualificato, in un secondo momento, integra e verifica i risultati attraverso una meticolosa attività manuale. Queste attività hanno lo scopo di rifinire la ricerca evidenziando eventuali errori commessi durante il processo. Uno degli aspetti chiave di questa tipologia di analisi è l’isolamento tempestivo delle vulnerabilità reali. Uno strumento buono di Vulnerability Assessment permette all’utente di avere un’overview aggiornata del livello di sicurezza degli asset IT. Ovviamente, questo è il punto di partenza per ottimizzare tutti gli sforzi di security management.

Da ultimo non c’è misura preventiva migliore del Penetration Test.

Questo, detto in parole povere, fa un “esame” dei punti deboli relativi ad una infrastruttura IT e, dopo averli scoperti, prova ad exploitarli in maniera sicura e controllata. Le vulnerabilità che sono oggetto d’esame da parte delle attività di Penetration Testing possono essere presenti nel software stesso in questi punti d’accesso:

  • Flaws non intenzionali nel design del codice del software;
  • Utilizzando il software in un modo per cui non è stato progettato;
  • La non corretta implementazione della gestione della configurazione del software;
  • Backdoor (porte sul retro) nel sistema operativo.

Le attività di Penetration Testing possono essere condotte sia attraverso processi automatici che manuali. Solitamente, il target di questa attività è focalizzato sui seguenti endpoint:

  • Network endpoint;
  • Dispositivi Mobile e Wireless;
  • Network Security Device;
  • Server;
  • Altre aree esposte come il codice che sta dietro alle applicazioni.

Lo scopo di un Penetration Test, tuttavia, è quello di andare il più a fondo possibile nell’infrastruttura IT aziendale per arrivare agli asset elettronici di una azienda. L’obiettivo non è quello di colpire duramente il bersaglio al primo tentativo, ma è quelli di colpire anche più duramente nei tentativi seguenti.

Prendendo questo come punto di partenza, possiamo stabilire che l’obiettivo principale di un penetration test sia quello di identificare chiaramente le vulnerabilità di sicurezza. Oltre a quanto appena detto, c’è una serie di altri obiettivi che il penetration test può raggiungere:

  • Verificare la compliance delle policy di sicurezza;
  • Testare la consapevolezza dello staff in materia di sicurezza;
  • Controllare se e come un’organizzazione può affrontare un security breach.

Insomma, le soluzioni per arginare il fenomeno sono già presenti, ora a prendere le redini della situazione devono essere le università; il rischio dovrebbe già essere ben chiaro.