Мишенями атак были представители широкого круга отраслей

Кибершпионская группировка, которую в «Лаборатории Касперского» называют Darkhotel, внедряет вредоносный код в веб-порталы, в которых обычно надо ввести фамилию и номер, чтобы войти в гостиничную локальную сеть для доступа к Интернету.

Инфекции, как правило, краткосрочны и нацелены на конкретных гостей — им предлагается загрузить обновления популярных приложений, зараженные троянцами. Такое обновление устанавливает вредонос, который загружает и инсталлирует заверенные цифровыми сертификатами программы для хищения информации.

«Похоже, атакующие заранее знают даты прибытия и отъезда своих жертв из отеля», — пишут исследователи «Лаборатории Касперского» в своем отчете. Атака начинается в момент, когда прибывший соединяется с Интернетом.

Как только жертва выбывает из гостиницы, злоумышленники дезактивируют вредоносный код, внедренный в сетевой портал отеля, чтобы замести следы.

Группировка Darkhotel примечательна тем, что организует узконаправленные атаки в комбинации с ненаправленными, основанными на ботнете. Взлом цифровых сертификатов в сочетании с использованием уязвимостей нулевого дня свидетельствует о том, что этим занимается высококвалифицированная команда разработчиков. Однако в управляющей инфраструктуре ботнета выявлены плохо сконфигурированные серверы и примитивные ошибки, а это в свою очередь указывает, что ею управляют менее опытные злоумышленники.

«Судя по хорошо обеспеченному процессу разработки и обширной динамической инфраструктуре, используемой атакующими, можно предположить, что мы еще услышим о Darkhotel», — говорится в блоге «Лаборатории Касперского».

Группировка кибершпионов предположительно начала деятельность еще в 2007 году или даже раньше и пользовалась также другими методами атак, в том числе отправляла адресные фишинговые письма с вложениями и ссылками, использовавшими уязвимости нулевого дня в Flash Player и Internet Explorer, и распространяла зараженные файлы по файлообменным сетям.

Большинство вредоносных компонентов, используемых Darkhotel, подписано действительными цифровыми сертификатами — либо двойниками сертификатов со взломанными 512-разрядными ключами RSA, либо сертификатами, украденными у законных владельцев.

Вредоносный инструментарий Darkhotel состоит из загрузчика вирусов, клавиатурного шпиона, троянца для сбора системной информации, программы для кражи хранимых браузерами паролей и другой конфиденциальной информации и вируса, распространяемого через USB-накопители и общие сетевые каталоги.

Мишенями атак были представители широкого круга отраслей, включая производство электроники, финансы, фармацевтику и др. Жертвами атак также становились военные и работники правоохранительных структур.