Les experts du GReAT de Kaspersky Lab ont analysé la campagne d'espionnage « Darkhotel ». Cette campagne sévit dans l'ombre depuis au moins quatre ans. Elle cible certains dirigeants d'entreprises en voyage à l'étranger séjournant dans des hôtels de luxe, dans le but de leur dérober des données sensibles. Les pirates ne s'attaquent jamais deux fois à la même victime : opérant avec une précision chirurgicale, ils obtiennent le plus possible d'informations de valeur dès le premier contact, effaçant les traces de leurs agissements et se fondant dans le décor en attendant la prochaine cible d'envergure. Parmi les victimes les plus récentes figurent notamment de hauts responsables – PDG, directeurs des ventes et du marketing, chercheurs de haut niveau, etc. – d'entreprises américaines ou asiatiques en voyage d'affaires dans la région Asie-Pacifique. La question est de savoir qui sera la prochaine cible de cette menace encore active...
Mode de fonctionnement d'une attaque Darkhotel
Les auteurs de la campagne d'espionnage Darkhotel ont déployé un dispositif efficace d'intrusion des réseaux d'hôtels, leur permettant depuis plusieurs années d'accéder à des systèmes même réputés privés et sécurisés. Ils attendent que leur victime, à son arrivée à l'hôtel, se connecte au réseau Wi-Fi de l'établissement, communiquant son nom et son numéro de chambre. Ils l'accueillent alors sur le réseau infecté et l'incitent à télécharger et installer un malware de type backdoor, censé être une mise à jour de logiciels courants (GoogleToolbar, Adobe Flash ou Windows Messenger). La victime télécharge sans méfiance ce « cadeau de bienvenue » de l'hôtel, ce qui n'a d'autre effet que d'infecter sa machine avec le logiciel espion de Darkhotel.
Une fois implanté sur un système, la backdoor sert à télécharger des outils de vol plus élaborés : un enregistreur de frappes clavier (keylogger) à signature numérique, le cheval de Troie « Karba » ainsi qu'un module de vol d'informations. Ces outils collectent des données sur le système et les logiciels antimalwares qui y sont installés, Ils recherchent également des mots de passe cachés dans les navigateurs Firefox, Chrome et Internet Explorer, des identifiants Gmail Notifier, Twitter, Facebook, Yahoo! ou Google, ainsi que d'autres informations privées. Les victimes se font dérober des données sensibles, vraisemblablement des éléments de propriété intellectuelle appartenant à leur entreprise. Après leur intrusion, les pirates effacent minutieusement tous leurs outils du réseau de l'hôtel et se remettent à l'affût dans l'ombre.
« Depuis plusieurs années, une puissante menace nommée Darkhotel est responsable d'un certain nombre d'attaques menées avec succès contre des personnes de haut rang, en employant des méthodes et techniques allant bien au-delà de la cybercriminalité classique. La menace Darkhotel s'appuie sur des compétences d'attaque opérationnelles, mathématiques et cryptoanalytiques, ainsi que d'autres ressources suffisantes pour abuser des réseaux commerciaux dignes de confiance et cibler des catégories spécifiques de victimes avec une précision stratégique. » commente Kurt Baumgartner, Principal Security Researcher du GReAT de Kaspersky Lab.
Cependant, les activités malveillantes de Darkhotel ne sont pas toujours cohérentes : aux côtés de ses attaques extrêmement ciblées, la propagation de ses malwares s'effectue sans discernement.
« La combinaison des deux types d'attaques, tantôt ciblées, tantôt aveugles, est de plus en plus répandue sur la scène des menaces APT, où les attaques ciblées servent à infecter des victimes triées sur le volet, tandis que les opérations de type botnet permettent de se livrer à une surveillance de masse ou à d'autres méfaits comme par exemple des attaques DDoS ou, tout simplement, l'installation d'outils d'espionnage plus élaborés chez des victimes présentant un intérêt particulier. » ajoute Kurt Baumgartner.
Comment déjouer la menace Darkhotel
Si, en voyage, tout réseau, même semi-privé comme dans un hôtel, doit être considéré comme potentiellement dangereux. Le cas Darkhotel illustre l'évolution d'un vecteur d'attaque : les détenteurs de précieuses informations peuvent facilement être victimes de la menace Darkhotel, qui est encore active, ou d'une autre attaque de ce type. Pour les en protéger, les experts de Kaspersky Lab leur adresse les conseils suivants :
· Passer par un fournisseur de réseau privé virtuel (VPN) afin de bénéficier d'un canal crypté de communication lors de l'accès à des réseaux Wi-Fi publics ou semi-publics.
· En voyage, toujours considérer les mises à jour de logiciels comme suspectes. Vérifier que le programme d'installation proposé pour la mise à jour est signé par l'éditeur approprié.
· Veiller à installer une solution de sécurité Internet intégrant des défenses proactives contre les nouvelles menaces au-delà d'une simple protection antivirale de base.
· D'autres conseils sont disponibles sur le site cybersmart.kaspersky.com/privacy