俄罗斯网络间谍集团定位酒店无线网络
网络犯罪分子在中东和欧洲瞄准了酒店Wi-Fi网络,对安全公司Fireeye的警告研究人员造成了对政府和商务旅行者的风险。
该活动归因于俄罗斯网络间谍组APT28的“适度信心”,研究人员在博客帖子中写道。
该集团,又称花哨的熊,典当风暴,Sofacy集团,Sednit和Stontium已与俄罗斯军事智能局GRU与几个突出的网络攻击有关。
其中包括德国议会,法国电视台电视5monde,白宫,北约,美国民主国家委员会以及法国总统候选人Emmanuel Macron的选举活动的网络攻击。
针对酒店界的活动被认为至少返回2017年7月,并包括密码嗅探,毒死NetBIOS名称服务,并使用EterNalBlue Exploit,它是Wannacry勒金沃特的关键组成部分。
Fireeye未覆盖在矛网络钓鱼电子邮件中发送给酒店业的多家公司的恶意文件,包括至少七个欧洲国家和2017年7月的一家中东国家的酒店。
成功执行恶意文档中的宏导致安装APT28的签名游戏中恶意软件。
根据研究人员的说法,攻击者正在使用涉及EternalBlue Exploit的新颖技术和开源工具响应者通过网络横向扩散,并且可能是目标旅行者。
一旦内部网络,攻击者都找出了控制客人和内部Wi-Fi网络的机器。
虽然没有观察到妥协的酒店在妥协的酒店中被观察到的客人证书,但在上一个案例中,APT28通过从酒店Wi-Fi网络偷来的凭据获得了初步访问受害者的网络。
获得连接到公司和访客Wi-Fi网络的机器,APT28部署的响应者,它使NetBIOS名称服务(NBT-NS)中毒能够。
此技术欺骗受害者的计算机将用户名和哈希密码发送到攻击者控制的机器。研究人员表示,APT28使用这种技术窃取用户名和散列密码,以允许升级受害者网络的权限。
要通过酒店的网络传播,APT28使用了EternalBlue服务器消息块(SMB)协议的版本。“这是我们第一次看到APT28将这种漏洞融入其入侵,”研究人员说。
他们注意到对酒店业的网络间谍活动通常专注于收集信息或来自酒店宾客的信息,而不是在酒店业本身,这意味着经常依靠酒店系统进行业务的业务和政府应该熟悉威胁在国外提出。
“APT28不是目标旅行者唯一的群体。研究人员说。
他们说,这项活动显示APT28已经广泛的功能,并且策略正在继续增长和精致,因为该组扩展其感染载体。
“旅行者必须意识到旅行时所带来的威胁 - 特别是对外国 - 采取额外的预防措施来保护他们的系统和数据,”研究人员建议。“公开访问的Wi-Fi网络存在重大威胁,应该尽可能避免,“ 他们说。
克里斯瓦内巴尔(Chris Wysopal),安全公司联合创始人和首席技术官表示,臭名昭着的Cyber Cangs正在寻找使用NSA的Eternalblue开发来支持他们的犯罪活动的新方法并不令人惊讶。 Veracode。
“EterEnalBlue Exproit已被证明在将恶意软件感染传播给其他未被划分的Microsoft系统时非常有效,”他说。
Wysopal表示,Microsoft已经指示许多不同版本的Windows都容易受到EternalBlue Exploit的影响,即使是那些当前接受支持。
“所有行业的所有企业都必须必须确保他们正在使用的Windows版本并不容易受到EternalBlue的影响,如果是的话,采取必要的步骤来修复它,”他说。
WysoPal认为,网络犯罪分子可能会使用EterEnalBlue继续,直到设备修补,它不再是传播恶意软件的有效向量。