猎云网11月25日报道 (编译:Sally)
酒店的用户往往被黑了都糊里糊涂。当你试图在五星级酒店使用WiFi的时候,往往会有一个弹出的对话框告诉你要更新Adobe。于是你无奈地点击“下载”,却跳出了恶意的exe文件。
但你不知道的是,这些老练的黑客们在宾馆的网络里已经潜伏了数天,就等着你上钩。他们早在你来的几天前就已经在网络中植入了恶意软件,在你离开的几天后再将这个软件删除。
这可不是我信口雌黄,而是Kaspersky实验室以及负责WiFi的第三方公司对亚洲某宾馆进行调查后得出的结论。Kaspersky表示这个黑客至少活跃了有七年之久,对入住一些亚洲豪华酒店的客人进行外科手术般的精准攻击,或者是用钓鱼式的方法或P2P网络进行攻击。
Kaspersky的研究员将这个组织命名为DarkHotel(暗黑宾馆),与此同时其它单独追踪钓鱼攻击和P2P攻击的网络安全公司也将它们称为Tapaoux。基本可以确定这帮黑客最迟从2007年开始逐渐活跃,采用多种老练的手段以及行人追踪技术(pedestrian techniques)引诱受害者上钩。宾馆黑客针对高价值的目标,这似乎是一项创新而大胆的举动。
随着时间的流逝,这项勾当越做越大,这帮黑客也逐渐将黑手蔓延到更多的酒店和宾馆。大多数成为攻击目标的酒店位于亚洲,有一些位于美国。Kaspersky表示不会将酒店的名称公示,但是却明确提到这些酒店对于调查比较不配合。
堪比NSA级别的黑客入侵机制
这些黑客的手段包括零时差攻击和内核键盘录入记录器。零时差攻击能够协助钓鱼式攻击,而内核的键盘记录器能从被攻击者的电脑上逐渐捞取重要数据和信息。他们还会破解某些比较薄弱的数字签名密钥,生成一些证书让人们注册他们的恶意软件,通过这样的方式,让恶意软件披上合法软件的马甲。
很显然,我们的敌人很是强大,对我们造成了极大的威胁。他们所使用的内核键盘记录器非常罕见,包括证书的逆向工程,以及对于零时差攻击的把握都足以让他们进入黑客世界的尖端行列。
他们的攻击围绕着核能,他们同时还将美国的国防基地也列为了攻击目标。
钓鱼式攻击的目标涉及范围很广,大多数知名度高的主管级别人物,比如亚洲某媒体的主管,再有政府机构或非政府组织的官员,抑或是美国的高管。他们主要的攻击对象却似乎在朝鲜、日本和印度。官方发言人表示,几乎所有跟核能相关的亚洲国家都被列入在攻击范围之内,很显然他们的攻击是以核能为中心的。甚至连美国的国防基地以及散落在世界各地与经济发展和投资相关的高管们都是他们的“鱼”。不容乐观的是最近他们就对美国的国防工业进行了一次突袭。
黑客们仿佛采用了一种双管齐下的策略:用P2P活动让更多的受害者卷入,之后再通过钓鱼式攻击更精准的下手。在P2P的攻击下,最初阶段是成千上万的受害者受到了僵尸网络病毒的恶意攻击。如果黑客们在过程中发现似乎被攻击者的身份十分有意思,值得探索,那么他们就会选定这个人,并进一步采取行动,在其系统里面安装“后门”,将文件和数据通通“偷走”。
截至近期,黑客们大约建立了200个用于指挥和控制的服务器用来实行攻击。Kaspersky想方设法大致确定了其中26个服务器的区域,甚至能进入其中的一些。他们能看到服务器上的日志,记录了很多被感染的系统。于是乎,黑客们的日志便成为研究员们建立“安全箱”从而研究僵尸病毒的媒介,这告诉我们其实这帮黑客在P2P的竞争中并不完全占上风。十月份,黑客们关闭了很多服务器,估计是他们意识到了Kaspersky的研究员们正在对他们进行反追踪。
官方发言人Raiu如是说,每一次紧急关闭服务器的背后都是硝烟中不让你看见的一阵慌乱。
种种迹象指向韩国
追究这阵慌乱的原因,或许是因为种种迹象表明,这些活动的来源似乎来源于美国的一大重要盟友——韩国。研究员们发现如果一个机器的代码页被指向韩国的时候,恶意软件便会自动关闭。黑客们的日志中也出现了韩语,并且似乎与韩国某编码员有着千丝万缕的联系。
键盘记录器的性质以及远程报警器都给我们提出暗示,告诉我们DarkHotel很有可能是一个国家级别的活动,至少是受到某国政府支持的活动。如果真的是这样的话,那可就让美国国防安全局十分难堪。
Raiu告诉大家这次的键盘记录器是他作为一个安全研究员这么多年来,见过的最为复杂的也是最优秀的一个。内核式的恶意软件十分罕见并且难以叫停。在机器的核心游走而不是用户常用的软件界面,让这个恶意软件很难被一般的杀毒软件或检测系统发现。但是想要把内核的恶意软件用到淋漓尽致也需要十分谨慎,因为它一不小心就会让整个系统崩溃。
Kaspersky实验室的核心安全研究员Vitaly Kamluk分享说:内核层面上的技术是非常罕见的,需要极高的技巧。你必须得非常精心地进行各种测试来保证它的稳定。
Raiu还说,其实选择内核的恶意软件是很奇怪的一件事情,因为只需要简单四行代码就可以轻易的在用户的应用界面植入一个键盘录取器。但这帮黑客却更乐意使用内核的键盘录入器,需要300字节,这很不寻常,甚至可以说是很疯狂。换一个角度来说,做这件事的人对自己的编码技术充满自信。他知道他的编码一流且无可替代。
据Raiu推测,这款新的设计精美的记录器是2007年韩国一个叫Chpie的程序员在原先一块类似的内核记录器的基础上做出来的。之前的那一个没有现在的这个复杂,但是仍然可以看出他们有使用相同的编码,所以可以说现在的这款是升级版。
除了老练的键盘记录器,黑客对于登陆恶意软件时数字证书的利用也让我们怀疑背后必然有官方政府支持。黑客发现马来西亚和德国电信的数字证书认证授权机构都有在使用512位的签名密钥。这种512位的密钥十分薄弱,很容易让黑客们钻空子,生成他们自己的证书从而让用户注册他们的恶意软件。
尽管这种证书已经存在一段时间了,但是这帮具有“高级持续威胁性”的黑客其实很少会使用这种技术。据Raiu所知,几乎找不到类似的案例。所以,我们可以称之为震动美国国家安全局的黑客机制。
虽然以上所说的这些已经足够骇人听闻,但是DarkHotel最令人揪心和好奇的地方还在于它在酒店和宾馆的实际操作。
揭开DarkHotel背后的秘密
Kaspersky研究员最初发现DarkHotel是在去年一月,那时他们的自动报警系统发现了一系列的客户电脑感染。他们随即进行追踪,结果追踪到了亚洲的某些酒店。Kamluk去到那些酒店实地考察试图找寻客人们的电脑是如何被入侵的,但是他却一无所获。酒店方面也并没有做出措施积极响应。但是那趟考察也不是一无所获,他发现了所有被攻击的酒店都使用的是同一家第三方公司的WiFi。
一些酒店的网络基础设施是归酒店自己所有的,另一些则是选择了服务公司合作。Kamluk到访的两家酒店的WiFi服务公司不愿意出面也不愿意公开自己的名字,但他们在协助调查黑客方面还是非常配合的。他们迅速反应,提供了服务器的图片及日志帮助追踪。
尽管黑客们十分小心,几乎没有留下任何踪迹,研究员依然发现了几行原本不应该存在于酒店系统里的命令行。
有一次,研究员们在一个Unix服务器的目录下发现了一个恶意的Windows执行程序。文件已经被删掉了,但是有删除记录。根据此条痕迹,Kamluk判断黑客们避开了酒店的正常工作时间,趁机植入自己的恶意软件引诱客人上钩。
他们一大清早就开始忙活,那个时候酒店的工作人员还没有来到办公室。等到酒店的工作人员忙活了一天离开之后,黑客们又开始忙活着倒腾他们的恶意软件。酒店的主管表示,这一切都不是心血来潮,而是长期策划的。他们在过去的几年当中,慢慢渗透,找寻进入酒店系统和网络的办法。
他们具体攻击了多少所酒店我们不得而知。但是他们绝对不是随便挑选酒店的,而是择优有条件选择。他们所挑中的酒店里面入住的往往总是有他们想要了解和攻击的人们。
当受害者试图连接WiFi的时候,就会有一个对话框跳出提醒他们更新Adobe Flash播放器,同时还提供给他们一个文件,上面有数码签名,看起来十分以假乱真,让受害者忍不住去下载。如果他们真的选择了下载,木马便侵入了。非常关键的点在于,这个提示是在用户还没连上WiFi的时候就出现了,所以即使他们之后放弃连接WiFi,在他们点击“接受”并选择下载的那一瞬间,黑客就取得了胜利。恶意软件却并不立即就进入工作状态。它会悄无声息的存在在受害者的电脑里六个月之久,然后再“苏醒”和控制中心的服务器连接上。Raiu分析这样的设置是为了避免某些高管或者有身份的人在去亚洲出差返回之后,政府或IT部门会对其电脑进行彻底的排查,所以刚回来时不能轻举妄动,而要“潜伏”。
在其中一些酒店,只有极少数的被攻击的目标。但是在另外一些系统里,黑客们一黑就黑一大片,甚至有些地方只要你试图连上无线网就会被攻击。
有时候,某代表团入住期间,黑客们会发起数次攻击,试图入侵所有成员的电脑。Raiu认为这些代表团的成员的网络和电脑都被保护的非常好,应该都是黑客们用常规的钓鱼手段无法钓到的对象。
Kaspersky仍然不清楚黑客们是如何进入酒店的服务器的。他们并没有采用那些黑客罪犯们采用的手段。DarkHotel的黑客们进入系统,做一些手脚,然后再抹去这一切的痕迹。日志中,研究员们并没有发现任何的系统后门。合理的解释就是黑客们要么从来都没有进来过,要么就是非常完美的抹去了所有的痕迹。要不然,就是他们有内应,帮助他们完成这些攻击。
研究员至今并没有弄清楚DarkHotel到底针对的目标是谁。客人想要登陆WiFi一般都得输入他们的房间号和姓氏,但是无论是Kaspersky还是WiFi的公司都无权看到客人的信息。Kaspersky的自动报警系统虽然报警了,但是客户信息都是匿名的,所以除了IP地址,Kaspersky对于客户的具体信息一无所知。
具体有多少所酒店被列为目标我们也不是很清楚。目前发现的不到十几所。但是很有可能还有更多的酒店都被攻击了,我们不知道只是因为所有的痕迹都被抹去了。
值得欣慰的是,Kaspersky与其合作公司仔细排查了所有的酒店服务器之后表示他们“比较确定”那些恶意软件没有被留在酒店的服务器上。但是这只是一家公司的表态。说不定DarkHotel还有在别家公司的网络系统里面兴风作浪。
酒店的用户想要避免这样的攻击还是有难度的。我们能做的就是当你看到让你更新下载文件的弹出对话框时,请三思。可以上官网看看这个东西是否真的值得下载。当然,如果黑客们铁了心就是要黑你,把你从一个对话框带到另外一个网页下载恶意软件的界面,那你就逃也逃不过了。
Source:Wired
