Читаем Искусство быть невидимым полностью

Исследователи из Лаборатории Касперского, разрабатывающей системы защиты от киберугроз, выявили использующую эти методы группу преступников-хакеров, которую они назвали DarkHotel (другое ее название Tapaoux). Эти хакеры выясняют имена руководителей компаний, которые должны остановиться в том или ином роскошном отеле, а затем ожидают их прибытия, разместив на сервере отеля вредоносное ПО. Когда руководитель вселяется и подключается к сети Wi-Fi отеля, вредоносная программа загружается и выполняется на его устройстве. После заражения вредоносная программа удаляется с сервера отеля. Как отмечают исследователи, это происходит на протяжении почти десятилетия.

Несмотря на то что это в первую очередь касается руководителей, которые останавливаются в роскошных отелях Азии, такая тактика может использоваться и в других местах. Как правило, группа DarkHotel использует низкоуровневые целевые фишинговые атаки для массовых целей и оставляет атаки на серверы отелей для более важных целей, например, руководителей, работающих в сфере ядерной энергетики и обороны.

В результате проведения первичного анализа было высказано предположение о том, что группа DarkHotel базировалась в Южной Корее. В коде применяемого в ходе атак клавиатурного шпиона — вредоносного программного обеспечения для записи нажатий клавиш в уязвимых системах — были обнаружены корейские символы. А также уязвимости нулевого дня (уязвимости, о которых неизвестно компании-разработчику) представляли собой весьма существенные, не известные ранее изъяны в программном обеспечении. Кроме того, была обнаружена связь южнокорейского имени в коде клавиатурного шпиона с другими сложными клавиатурными шпионами, использовавшимися корейцами в прошлом.

Однако следует отметить, что этого недостаточно для подтверждения. Код программного обеспечения может браться из разных источников. Кроме того, программное обеспечение может выглядеть так, как если бы оно было создано в одной стране, когда фактически оно создано в другой.

Для установки вредоносного программного обеспечения на ноутбуки группа DarkHotel использует поддельные сертификаты, которые выглядят так, будто они выданы правительством Малайзии и компанией Deutsche Telekom. Как вы помните из главы 5, сертификаты используются для проверки происхождения программного обеспечения или веб-сервера. Чтобы еще больше запутать следы, хакеры сделали так, чтобы вредоносное программное обеспечение находилось в бездействии на протяжении шести месяцев, а затем активировалось. Это делалось для того, чтобы сотрудники IT-отделов не могли установить связь между поездкой и заражением.

Исследователи Лаборатории Касперского узнали об этой атаке только тогда, когда компьютеры группы ее клиентов оказались зараженными после пребывания в конкретных роскошных отелях Азии. Исследователи обратились к стороннему сервису Wi-Fi, который использовался в обоих отелях, и совместно с ним решили проверить, что происходит в его сетях. Несмотря на то что файлы, используемые для заражения компьютеров постояльцев, давно исчезли, были обнаружены записи об удалении файлов, совпадающие с периодом их пребывания в отеле.

Самый простой способ защититься от подобных атак — подключиться к службе VPN сразу после подключения к Интернету в отеле. Я использую недорогой сервис, который обходится мне в шесть долларов в месяц. Однако это не очень хороший выбор, если вы хотите остаться невидимым, поскольку он не позволяет производить анонимную настройку.