Група за кибер шпионаж, подозирана във връзки с руското военно разузнаване (ГРУ), е вероятният автор на хакерска кампания от юли срещу гостите на хотели в поне 7 европейски и една близкоизточна държава. APT 28, известна още като Fancy Bear, се опитва да открадне пароли на западни правителства и компании, използвайки безжичните мрежи на хотелите, в които те отсядат по време на пътувания, твърди компанията за сигурност FireEye.
Според съобщение от петък на анализатори на фирмата, целта на руснаците е след това да заразят правителствени и бизнес мрежи, когато атакуваните се приберат в офисите си.
Кампанията е била особено активна в първата седмица на юли и е била насочена срещу посетителите на няколко хотелски вериги.
Беджамин Рийд, ръководител на анализите за кибер шпионаж към американската FireEye, казва, че техническите похвати и "командната верига" на атаките ясно сочат към АРТ 28. "Ройтерс" припомня, че FireEye подробно описва действията на тази група от 2014. насам.
"Уверени сме в умерена степен в преценката си. Все още нямаме безспорно доказателство", казва той за агенцията с обяснението, че техническото разследване още е в ход.
Атаките са били засечени и отблъснати в първоначалната фаза на инфилтрирането. Но подобни методи са били използвани през есента на 2016г. в хотели в Европа и с тях успешно е проникнато в компютър на американски правителствен служигел, допълва Рийд.
В атаките от юли са използвани т.нар. spear-phishing имейли, чрез които са подведени служители на хотелите да изтеглят от интернет заразен документ за резервация. Така е инсталирана програма GAMEFISH, управлявана дистанционно от сайтове, за които е известно, че се контролират от АРТ 28.
Този трик е дал на кибер шпионите контрол над безжичната мрежа, използвана от гостите на хотела. По този начин те са можели да се доберат до пароли на своите жертви и да следят некриптирани данни, предавани към споделена мрежова инфрастурктура на елитни хотели в големи градове.
"Не откриваме да е откраднато нещо от гостите. Но бяха атакувани няколко хотелски вериги и още не знаем за мащаба на операцията", казва още Рийд.
"Ройтерс" допълва, че тези предварителни заключения са поредните, сочещи, че Русия се е заела с разпростираща се надлъж и шир хакерска дейност срещу правителства, компании и предизборни кампании. Няколко правителства и компании за сигурност са свързали АРТ 28 с ГРУ, а други проследяват същите отличителни черти на атаките, но не обвиняват директно руската държава. Москва категорично отхвърля подобни обвинения.
Атаката от юли се е възползвала от разпространеният преди месеци зловреден софтуер, изветен като EternalBlue. Смята се, че той е бил откраднат от Агенцията за национална сигурност на САЩ и така хакери са получили модерно средство да действат почти незабелязано в мрежите на отделни организации благодарение заразяването само на един единствен компютър.
От FireEye разказват за атаки срещу хотел през 2016г., когато потребител е бил подведен да инсталира фалшиво обновяване на Adobe Flash. В началото на операцията хакер е действал, използвайки същата безжична интернет мрежа. АРТ 28 е проникнала 12 часа по-късно в базирана в интернет Outlook поща на потребителя.
Правителственият служител се е прибрал в САЩ и заразата е била прехвърлена в мрежата на агенцията, когато компютърът е бил включен в нея, разказва Рийд, но не разкрива докъде е стигнала атаката и дали е нанесла някакви щети.
"Пътуващите трябва да са запознати със заплахите, докато са в командировка - особено в чужди държави - и да вземат допълнителни защитни мерки за своите данни и компютри. Общодостъпни безжични мрежи представлява значителна заплаха и тлябва да се избягват, когато това е възможно", предупреждават от FireEye.
Източник: dnevnik.bg
