Die Spionagekampagne Darkhotel nimmt gezielt CEOs ins Visier, die auf Geschäftsreisen in Luxus-Hotels übernachten.

© Kaspersky

Darkhotel
11/10/2014

Gezielte Angriffe auf Geschäftsreisende in Luxus-Hotels

Cyberkriminelle nutzen das WLAN von Luxus-Hotels, um mit gefälschten Software-Updates Laptops von ausgewählten Gästen zu infizieren und auszuspionieren.

Das IT-Sicherheitsunternehmen Kaspersky hat eine Spionagekampagne aufgedeckt, mit der gezielt Geschäftsreisende in Luxus-Hotels angegriffen werden. Die Operation wurde „Darkhotel“ getauft und soll schon seit mindestens vier Jahren laufen.

Die Angriffe basieren auf dem Man-in-the-Middle-Prinzip. Die Cyberkriminellen manipulieren das WLAN des Hotels. Loggt sich der Hotelgast mit Namen und Zimmernummer in das WLAN ein, wird er aufgefordert, ein Update für gängige Software, wie Google Toolbar, Adobe Flash oder Windows Messenger, zu installieren. Statt dem Update wird aber Schadsoftware heruntergeladen.

Das installierte Backdoor-Programm lädt daraufhin weitere Malware, wie Keylogger und Trojaner, auf das System. Diese Tools sammeln Daten über das System und die darauf installierte Antivirensoftware, lesen Tastaturanschläge mit und suchen nach in Firefox, Chrome sowie im Internet Explorer gespeicherten Passwörtern; ebenso wie nach Zugangsdaten für Gmail Notifier, Twitter, Facebook, Yahoo! und Google sowie weiteren privaten Daten. Danach bereinigen die Cyberkriminellen das Hotel-WLAN von ihrer eigenen, aktiven Software, um die Spuren zu verwischen. Die Malware wird erst wieder aktiv, wenn das nächste, bewusst ausgewählte Ziel sich ins WLAN einloggt.

Gezielte Angriffe auf CEOs

Laut Kaspersky wird diese Technik bereits seit mehr als vier Jahren eingesetzt. Vorrangig wurden gezielt CEOs und hochrangige Manager sowie Führungskräfte aus den USA und Asien angegriffen, die geschäftlich im Asiatisch-Pazifischen Raum unterwegs waren. „Dabei kamen Methoden und Techniken zum Einsatz, die weit über das Repertoire klassischer Cyberkrimineller hinausgehen“, so Kurt Baumgartner, Principal Security Researcher bei Kaspersky Lab. „Die Hintermänner von Darkhotel besitzen mathematische und kryptografische Kenntnisse sowie weitere Ressourcen, mit denen sie kommerzielle Netzwerke missbrauchen und bestimmte Opfer mit strategischer Präzision angreifen können.“

Wer hinter Darkhotel steckt, ist noch nicht bekannt. Laut Kaspersky deuten Spuren im Schadcode darauf hin, dass die Täter koreanisch sprechen.

eine Newsletter Anmeldung Platzhalter.

Wir würden hier gerne eine Newsletter Anmeldung zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.