DarkHotel: Ciberespionaje Profesional En Hoteles de Lujo

11 Nov 2014

El ciberespionaje es el arma del siglo XXI. Es tan poderosa que incluso una aplicación móvil aparentemente inofensiva es capaz de desenmascarar varios secretos de un usuario distraído. Pero si existen este tipo de herramientas para atacar usuarios ordinarios; entonces, ¿qué podemos esperar de los operativos diseñados para espiar a representantes de las principales compañías y organizaciones gubernamentales del mundo?

DH

En las últimas semanas, Kaspersky Lab descubrió una compleja campaña de espionaje cibernético que lleva activa más de 7 años en distintos hoteles asiáticos. Pero eso no es todo. Los espías profesionales involucrados en esta operación –bautizada con el nombre de Dark Hotel- crearon un conjunto de herramientas que les permitían infiltrarse en las máquinas de los usuarios por numerosas vías de gran sofisticación.

Si bien el FBI había mencionado por primera vez los ataques de Dark Hotel en 2012, el malware utilizado por esta operación de espionaje (conocido como Tapaoux) ha existido desde el 2007. Asimismo, los estudios realizados sobre los servidores C&C y los registros utilizados para manejar la campaña determinaron que las primeras conexiones datan de enero de 2009. Por lo tanto, si tenemos en cuenta todos estos factores, lo más probable es que la campaña de Dark Hotel haya estado activa desde hace ya varios años.

Según revelan las investigaciones de nuestros expertos, el método que los criminales utilizaron con mayor frecuencia para infiltrarse en las computadoras de las víctimas, fueron las redes Wi-Fi de varios hoteles de lujo del continente asiático. Todo indica que los cibercriminales explotaron vulnerabilidades de día cero presentes en Adobe Flash y otros programas populares de importantes compañías. Teniendo en cuenta que esas vulnerabilidades no son sencillas de encontrar, podemos conjeturar dos cosas: o bien la operación estuvo auspiciada económicamente por personas de muchísimo dinero (las armas cibernéticas de alta complejidad son enormemente costosas) o los agentes involucrados en esta campaña de espionaje son de un altísimo nivel de profesionalismo. Lo más probable es que ambos factores hayan estado presentes.

grey-The-Dark-Hotel

Si bien el método que acabamos de mencionar fue probablemente el más utilizado, no fue el único que los cibercriminales emplearon para llevar adelante la operación. Otros tácticas alternativas incluyeron troyanos ocultos en archivos de comics para adultos y enlaces phishing enviados a los correos electrónicos de empleados del Estado y organizaciones no lucrativas.

Los criminales usaron un keylogger sofisticado que incluía un módulo integrado para hurtar contraseñas guardadas en navegadores conocidos.

Son muchas las causas, además del uso de las vulnerabilidades de día cero, que evidencian el alto nivel de conciencia de los cibercriminales. Llegaron tan lejos que incluso lograron crear certificados de seguridad digitales para dar rienda suelta al malware. Y con el objetivo de espiar los canales de comunicación utilizados por sus víctimas, estos ladrones digitales utilizaron un keylogger sofisticado que consistió en un módulo integrado para hurtar contraseñas guardadas en navegadores conocidos.

Curiosamente, estos criminales fueron muy cautelosos, al punto de diseñar una serie de medidas para evitar la detección del malware. Lo primero que hicieron fue asegurarse de que el virus tuviera un “período de incubación largo”: la primera entrada del troyano a los servidores C&C ocurrió 180 días después de haberse infiltrado en los sistemas. Luego, el malware se auto-destruyó a través de un protocolo que se habilitaba en caso de que el idioma del sistema cambiara a coreano.

Los criminales operaban principalmente en Japón, Taiwán y China. Sin embargo, Kaspersky Lab logró detectar ataques que tuvieron lugar en otros países, incluyendo aquellos alejados de lugares de su interés.

En relación a Darkhotel, Kurt Baumgartner, Investigador de Principal Security en Kaspersky Lab dijo: “En los últimos años, Darkhotel ha realizado una serie de ataques exitosos contra individuos de alto perfil, con métodos y técnicas adecuados que van más allá del comportamiento de los cibercriminales. Son individuos con competencias operacionales y capacidad ofensiva matemática y cripto-analítica importantes, emplean recursos suficientes para violentar redes comerciales de confianza y suelen tener en la mira categorías específicas de víctimas con extrema precisión”.

Por fin podemos decir que los productos de Kaspersky Lab detectan y neutralizan programas maliciosos y sus variantes usados por el conjunto de herramientas de DarkHotel. Puedes leer la historia completa de la APT (advanced persistent threat) DarkHotel en Securelist.com

 

Traducido por: Guillermo Vidal Quinteiro y Maximiliano De Benedetto