VİRÜS TANIMI
Virüs Türü: Kötü amaçlı yazılım, gelişmiş kalıcı tehdit (APT)
Darkhotel tehdidi nedir?
"Darkhotel" adlı en yeni virüs tehdidi saldırısı, Kaspersky Lab'in Küresel Araştırma ve Analiz Ekibi tarafından analiz edildi. Darkhotel tehdidinin hedef odaklı kimlik avı ve gizli verileri yakalamak için tasarlanan tehlikeli kötü amaçlı yazılımları bir arada kullandığı görülüyor.
Darkhotel'in ardındaki siber suçlular neredeyse on yıldır faaliyet gösteriyor ve dünya genelinde binlerce kurbanı hedef alıyor. Karşılaştığımız Darkhotel virüslerinin %90'ı Japonya, Tayvan, Çin, Rusya ve Kore'de etkinlik gösteriyor. Ancak Almanya, ABD, Endonezya, Hindistan ve İrlanda'da da bu virüsle karşılaştık
Virüs Tehdidi Ayrıntıları
Darkhotel tehdidi nasıl çalışır?
Bu kampanya, çeşitli derecelerde kötü amaçlı hedefleme kullandığından alışılmışın dışındadır.
(1) Hedef Odaklı Kimlik Avı
Spektrumun bir ucunda savunma endüstrisi üslerine, hükümetlere, STK'lara, büyük elektronik ve çevre birimi üreticilerine, ilaç firmalarına, tıbbi hizmet sağlayıcılarına, askeriyeyle alakalı kuruluşlara ve enerji politikalarını belirleyen kurumlara sızmak için hedef odaklı kimlik avı kullanılır. Bu saldırılar tamamen Darkhotel implantı kılığında tipik hedef odaklı kimlik avı sürecini takip eder. E-posta yem içeriği genellikle nükleer enerji ve silah özellikleri gibi konuları içerir. Son birkaç yıldır hedef odaklı kimlik avı e-postaları, bir Adobe sıfır gün güvenlik açığı eki ya da hedeflerin tarayıcılarını Internet Explorer sıfır gün güvenlik açıklarına yönlendiren bağlantılar içeriyor. Bu kuruluşlardan veri çalmayı amaçlıyorlar.
(2) Kötü Amaçlı Yazılım İletimi
Spektrumun diğer ucunda kötü amaçlı yazılımları ayrım gözetmeksizin Japon P2P (eşdüzey) dosya paylaşımı siteleri yoluyla yayıyorlar. Kötü amaçlı yazılım, cinsel içerik sunduğunu iddia eden geniş bir RAR arşivinin parçası olarak sunulur ancak kurbandan gizli veriler toplayan bir arka kapı Trojanı yükler.
(3) Virüs Bulaşması
Bu ikisi arasında yer alan bir yaklaşımda deniz aşırı seyahat eden ve bir otelde kalan, kuşku duymayan yöneticileri hedeflerler. Bu örnekte kurbanlara Google Toolbar, Adobe Flash ve Windows Messenger gibi önemli birkaç yazılım sürümünden biri gibi görünen nadir bir Trojan bulaşır. Virüs bulaştırmanın bu ilk aşaması, saldırganlar tarafından kurbanlarını tanımlamak ve daha önemli kurbanların bilgisayarlarına gizli verileri çalmak için tasarlanan ileri düzey kötü amaçlı yazılımlar yüklemek için kullanılır.
Kötü amaçlı kodun içindeki bir satıra göre tehdit çıkış kaynağı olarak Kore'deki bir tehdit aktörüne işaret ediyor.
Darkhotel'in önemi nedir?
Çoğu hedefli saldırının teknik karmaşıklığına rağmen bunlar genellikle çalışanların kurumsal güvenliği tehlikeye atacak bir şeyi yapmak için kandırılmalarıyla başlar. Dışarıyla iletişim kuran pozisyonlardaki çalışanlar (ör. üst düzey yöneticiler, satış ve pazarlama personeli) özellikle savunmasız olabilir. Çünkü bu kişiler genellikle yollardadır ve kurumsal ağa bağlanmak için güvenli olmayan ağları (ör. otellerdeki) kullanmaları olasıdır.
Darkhotel Kampanyasının Özellikleri
- C düzeyi kurbanlara odaklanan hedefli saldırılar: CEO'lar, Kıdemli Başkan Yardımcıları, Satış ve Pazarlama Müdürleri ve önemli Ar-Ge personeli
- Bu çete hem hedefli saldırılardan hem de botnet tarzı faaliyetlerden faydalanır. Otel ağlarını ele geçirir, ardından seçilen yüksek profilli kurbanlara bu ağlardan saldırı düzenlerler. Aynı anda kitlesel gözlem veya DDoS (dağıtılmış hizmet reddi) saldırıları gibi diğer görevleri gerçekleştirmek ya da özellikle ilgi çekici kurbanların bilgisayarlarına daha sofistike casusluk araçları yüklemek için botnet tarzı faaliyetleri kullanırlar.
- Internet Explorer ve Adobe ürünlerini hedefleyen sıfır gün güvenlik açıklarının kullanımı.
- Gizli verileri çalmak için gelişmiş, alt düzey tuş kaydedici kullanımı.
- Çalınan dijital sertifikalar kullanılarak imzalanmış kötü amaçlı kod.
- Kalıcı bir kampanya – Darkhotel neredeyse on yıldır faaliyet gösteriyor.
Darkhotel saldırısını nasıl engelleyebilirim?
Tamamen engellemek zorlu olsa da seyahat sırasında güvende kalmaya yönelik bazı ipuçlarını burada bulabilirsiniz.
- Herkese açık veya kısmen herkese açık Wi-Fi kullanmayı planlıyorsanız yalnızca güvenilir VPN tünellerini kullanın
- Hedef odaklı kimlik avı saldırılarının nasıl işlediğini öğrenin
- Tüm sistem yazılımını güncelleyin
- Her zaman yürütülebilir dosyaları doğrulayın ve paylaşılan dosyaları P2P ağları üzerinden dikkatle ve şüpheci yaklaşarak kullanın
- Seyahat ederken yazılım güncellemelerini sınırlandırmayı deneyin
- Kaliteli bir İnternet güvenliği yazılımı yükleyin. Yazılımın yalnızca basit antivirüs korumasından ziyade yeni tehditlere karşı proaktif savunma içerdiğinden emin olun