Virüs Türü: Kötü amaçlı yazılım, gelişmiş kalıcı tehdit (APT)
"Darkhotel" adlı en yeni virüs tehdidi saldırısı, Kaspersky Lab'in Küresel Araştırma ve Analiz Ekibi tarafından analiz edildi. Darkhotel tehdidinin hedef odaklı kimlik avı ve gizli verileri yakalamak için tasarlanan tehlikeli kötü amaçlı yazılımları bir arada kullandığı görülüyor.
Darkhotel'in ardındaki siber suçlular neredeyse on yıldır faaliyet gösteriyor ve dünya genelinde binlerce kurbanı hedef alıyor. Karşılaştığımız Darkhotel virüslerinin %90'ı Japonya, Tayvan, Çin, Rusya ve Kore'de etkinlik gösteriyor. Ancak Almanya, ABD, Endonezya, Hindistan ve İrlanda'da da bu virüsle karşılaştık
Bu kampanya, çeşitli derecelerde kötü amaçlı hedefleme kullandığından alışılmışın dışındadır.
Spektrumun bir ucunda savunma endüstrisi üslerine, hükümetlere, STK'lara, büyük elektronik ve çevre birimi üreticilerine, ilaç firmalarına, tıbbi hizmet sağlayıcılarına, askeriyeyle alakalı kuruluşlara ve enerji politikalarını belirleyen kurumlara sızmak için hedef odaklı kimlik avı kullanılır. Bu saldırılar tamamen Darkhotel implantı kılığında tipik hedef odaklı kimlik avı sürecini takip eder. E-posta yem içeriği genellikle nükleer enerji ve silah özellikleri gibi konuları içerir. Son birkaç yıldır hedef odaklı kimlik avı e-postaları, bir Adobe sıfır gün güvenlik açığı eki ya da hedeflerin tarayıcılarını Internet Explorer sıfır gün güvenlik açıklarına yönlendiren bağlantılar içeriyor. Bu kuruluşlardan veri çalmayı amaçlıyorlar.
Spektrumun diğer ucunda kötü amaçlı yazılımları ayrım gözetmeksizin Japon P2P (eşdüzey) dosya paylaşımı siteleri yoluyla yayıyorlar. Kötü amaçlı yazılım, cinsel içerik sunduğunu iddia eden geniş bir RAR arşivinin parçası olarak sunulur ancak kurbandan gizli veriler toplayan bir arka kapı Trojanı yükler.
Bu ikisi arasında yer alan bir yaklaşımda deniz aşırı seyahat eden ve bir otelde kalan, kuşku duymayan yöneticileri hedeflerler. Bu örnekte kurbanlara Google Toolbar, Adobe Flash ve Windows Messenger gibi önemli birkaç yazılım sürümünden biri gibi görünen nadir bir Trojan bulaşır. Virüs bulaştırmanın bu ilk aşaması, saldırganlar tarafından kurbanlarını tanımlamak ve daha önemli kurbanların bilgisayarlarına gizli verileri çalmak için tasarlanan ileri düzey kötü amaçlı yazılımlar yüklemek için kullanılır.
Kötü amaçlı kodun içindeki bir satıra göre tehdit çıkış kaynağı olarak Kore'deki bir tehdit aktörüne işaret ediyor.
Çoğu hedefli saldırının teknik karmaşıklığına rağmen bunlar genellikle çalışanların kurumsal güvenliği tehlikeye atacak bir şeyi yapmak için kandırılmalarıyla başlar. Dışarıyla iletişim kuran pozisyonlardaki çalışanlar (ör. üst düzey yöneticiler, satış ve pazarlama personeli) özellikle savunmasız olabilir. Çünkü bu kişiler genellikle yollardadır ve kurumsal ağa bağlanmak için güvenli olmayan ağları (ör. otellerdeki) kullanmaları olasıdır.
Tamamen engellemek zorlu olsa da seyahat sırasında güvende kalmaya yönelik bazı ipuçlarını burada bulabilirsiniz.