Recent had Hacking Team - het bedrijf dat bekend staat vanwege de verkoop van "juridische spyware" aan een aantal overheden en veiligheidsdiensten
Recent had Hacking Team - het bedrijf dat bekend staat vanwege de verkoop van "juridische spyware" aan een aantal overheden en veiligheidsdiensten - te maken met het publiekelijk lekken van zijn bestanden. Een aantal cyberspionagegroepen gebruiken nu de Hacking Team-tools voor hun eigen kwaadaardige doeleinden. Dit omvat diverse exploits die zich richten op Adobe Flash Player en het Windows-besturingssysteem. Ten minste één hiervan heeft een nieuwe bestemming gekregen in de krachtige cyberspionagegroep "Darkhotel".
"Darkhotel" is een elite cyberspionagegroep die door experts van Kaspersky Lab werd ontdekt in 2014 en toen al bijna 8 jaar actief was. De advanced persistent threat (APT) actor is beroemd vanwege het infiltreren van wifi-netwerken in luxe hotels en het compromitteren van speciaal uitgekozen corporate executives. Darkhotel maakt nu gebruik van een zero-day veiligheidslek van Hacking Team. Dit gebeurt sinds begin juli, direct na bekend worden van het lekken van de Hacking Team-bestanden op 5 juli. De Darkhotel-groep staat niet bekend als klant van Hacking Team en lijkt de bestanden dus te hebben opgepikt nadat deze openbaar werden.
Dit is niet de enige zero-day van de groep; Kaspersky Lab schat in dat ze in de afgelopen jaren een half dozijn of meer zero-days hebben gebruikt die zich richten op Adobe Flash Player. Blijkbaar doet Darkhotel aanzienlijke investeringen om zijn arsenaal uit te breiden. In 2015 breidde de Darkhotel-groep zijn geografische bereik uit over de hele wereld, terwijl tegelijkertijd op specifieke doelwitten werd gejaagd in Noord- en Zuid-Korea, Rusland, Japan, Bangladesh, Thailand, India, Mozambique en Duitsland.
Bijkomende hulp van Hacking Team
De beveiligingsonderzoekers van Kaspersky Lab hebben nieuwe technieken en activiteiten geregistreerd van Darkhotel. Eerder misbruikte de groep gestolen code-signing certificaten en pasten ze ongebruikelijke methodes toe, zoals het compromitteren van de wifi van hotels om spionage-tools te plaatsen op de systemen van doelwitten. Ook nu worden veel van deze technieken en activiteiten nog steeds gebruikt, maar Kaspersky Lab heeft daarnaast nieuwe varianten ontdekt in kwaadaardige uitvoerbare bestanden. Dit betreft het voortdurend gebruik van gestolen certificaten, onophoudelijke social engineering spoofing-technieken en de inzet van het zero-day veiligheidslek van Hacking Team:
- Voortdurend gebruik van gestolen certificaten.
De Darkhotel-groep lijkt een voorraad gestolen certificaten te hebben en zet hun hiermee ondertekende downloaders en backdoors in om het aan te vallen systeem te misleiden. Tot de meer recentelijk ingetrokken certificaten behoren die van Xuchang Hongguang Technology Co Ltd - het bedrijf waarvan eerder de certificaten werden gebruikt in aanvallen door deze cyberspionagebende. - Onophoudelijke spearphishing.
De Darkhotel APT is volhardend: het probeert een doelwit te raken, en keert als dit niet lukt maanden later terug om het nogmaals te proberen, met vrijwel dezelfde social-engineering trucs. - Inzet van Hacking Teams zero-day exploit.
De gecompromitteerde website, tisone360.com, bevat een reeks backdoors en exploits. De meest interessante hiervan is de Flash zero-day kwetsbaarheid van Hacking Team.
"Darkhotel is terug met weer een andere, op een gecompromitteerde website gehoste Adobe Flash Player-exploit, die deze keer lijkt te zijn veroorzaakt door het Hacking Team-lek. De groep heeft eerder een ander Flash-veiligheidslek geplaatst op dezelfde website, die we in januari 2014 rapporteerden als een Adobe zero-day. Darkhotel lijkt de afgelopen jaren gebruik te hebben gemaakt van een flinke stapel Flash zero-day en half-day exploits. Mogelijk heeft de groep er nog meer op voorraad om wereldwijd precieze aanvallen uit te voeren op hooggeplaatste personen. Uit eerdere aanvallen weten we dat Darkhotel CEO's, senior vice presidents, sales en marketing directeuren en top R&D-personeel bespioneert", aldus Kurt Baumgartner, Principal Security Researcher bij Kaspersky Lab.
Sinds vorig jaar heeft de groep hard gewerkt aan het verbeteren van zijn defensieve technieken, bijvoorbeeld door het uitbreiden van zijn anti-detectietechnologielijst. De 2015-versie van de Darkhotel-downloader is ontworpen om antivirustechnologieën van 27 leveranciers te identificeren, met de bedoeling deze te omzeilen.
Lees voor meer informatie de blog post op Securelist.com.
Algemene richtlijnen voor het inperken van APT's zijn beschikbaar in het artikel "How to mitigate 85% of all targeted attacks using 4 simple strategies".