FireEye mette in guardia contro una campagna malware attribuita agli hacker di APT28, che attaccano le reti Wi-Fi del settore hospitality per rubare dati sensibili.
FireEye ha rilevato una campagna malevola che ha avuto come obiettivo il settore dell’Hospitality. L’azienda ha infatti scoperto un documento dannoso di spear phishing che è stato inviato nella posta elettronica di molte aziende del settore, compresi hotel in almeno sette paesi europei e uno del Medio Oriente all’inizio di luglio 2017. L’esecuzione riuscita della macro presente all’interno del documento infetto avrebbe comportato l’installazione del malware GAMEFISH firmato dal gruppo APT28.
APT28 sta evolvendo le tecniche basate su exploit EternalBlue e sullo strumento opensource Responder. Una volta compromessa la rete di una società alberghiera, il Gruppo APT28 ha cercato macchine che controllavano sia le reti Wi-Fi interne che quelle degli ospiti. Negli hotel compromessi non sono state rubate le credenziali degli ospiti; tuttavia, in un separato incidente che si è verificato nell’autunno 2016, APT28 ha ottenuto l’accesso iniziale alla rete di una vittima tramite credenziali probabilmente rubate da una rete Wi-Fi di un hotel.
Ottenuto l’accesso ai computer connessi alle reti Wi-Fi aziendali e degli ospiti, APT28 ha diffuso Responder, uno strumento per il poisoning del servizio NetBIOS Name Service. Questa tecnica si basa sull’ascolto dell’attività di broadcast NBT-NS (UDP/137) dai computer delle vittime che tentano di connettersi alle risorse di rete. Ricevuta la trasmissione, Responder impersona la risorsa cercata e spinge il computer della vittima ad inviare il nome utente e la password alla macchina controllata dall’attaccante. APT28 ha utilizzato tale tecnica per carpire nome utente e valore hash della password, procedendo a un escalation dei privilegi sulla macchina della vittima.
FireEye ha verificato che, nell’incidente del 2016, la vittima è stata compromessa dopo il collegamento ad una rete Wi-Fi dell’hotel. Dodici ore dopo la connessione iniziale della vittima alla rete Wi-Fi accessibile al pubblico, APT28 ha effettuato accesso alla macchina target con le credenziali rubate. Le 12 ore possono essere state un intervallo di tempo necessario per trovare la password dal valore hash in modalità offline. Dopo aver effettuato l’accesso alla macchina, l’attaccante ha implementato gli strumenti malevoli sulla macchina muovendosi lateralmente nella rete della vittima fino all’accesso all’account OWA della vittima.
APT28 non è l’unico gruppo hacker che prende di mira i viaggiatori; anche il South Korea-nexus Fallout Team (Darkhotel) ha utilizzato aggiornamenti software su reti Wi-Fi infette in hotel asiatici e il malware Duqu 2.0 è stato trovato su network di hotel europei che sono stati utilizzati tra gli altri dai partecipanti ai negoziati nucleari iraniani. Tali attacchi al settore hospitality sono in genere finalizzati alla raccolta di informazioni, colpendo i clienti che si connettono a reti poco sicure.
I viaggiatori devono sempre essere consapevoli delle minacce possibili durante i viaggi, specialmente all’estero, e prendere le dovute precauzioni per proteggere i loro sistemi e i loro dati. Le reti Wi-Fi accessibili al pubblico rappresentano una minaccia significativa e il loro utilizzo dovrebbe essere evitato quando possibile.
Marco Rottigni, Consulting System Engineer Southern Europe, FireEye
Per diffondersi attraverso la rete aziendale alberghiera, APT28 ha utilizzato una versione dell’exploit EternalBlue SMB che è stato combinato con il pesante utilizzo di py2exe per compilare script Python. Questa è la prima volta che abbiamo notato l’APT28 incorporare questo exploit nella loro attività di intrusion. Non possiamo confermare come sono state rubate inizialmente le credenziali nell’incidente del 2016, ma di sicuro sappiamo che successivamente nell’attacco è stato impiegato lo strumento Responder. Poiché questo strumento permette ad un aggressore di rilevare la password dal network, avrebbe anche potuto essere utilizzato sulla rete Wi-Fi dell’hotel per ottenere le credenziali di un utente.
