没有枪没有炮敌人给我们造:APT 28借NSA工具攻击欧洲中东酒店

https://p5.ssl.qhimg.com/t01ffd012b36a7730f6.jpg

翻译:360代码卫士

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


这厢,美国政府在耗费数百万美元开发出各种黑客工具后;那厢,俄罗斯黑客组织就利用它们攻击位于欧洲和中东的酒店。

美国网络安全企业火眼公司发布报告称,著名的俄罗斯网络监控组织APT 28已利用“永恒之蓝”实施攻击。


APT 28利用鱼叉式钓鱼活动攻击酒店

APT 28 也被称为”Fancy Bear”、 “Sofacy”、 “Sednit” 、 “Tsar Team”、 “Pawn Storm” 或 “Srontium”)在网络安全圈可谓臭名昭著,曾被指攻击美国民主党国名委员会、北约和德国联邦议院。很多人认为它跟俄罗斯军事情报服务机构格鲁乌有关联。

研究人员指出,APT 28 利用鱼叉式钓鱼攻击将虚假的酒店预定条目作为Word文档传播到酒店和酒店业的其它实体。允许文档执行内置宏的目标计算机遭受APT 28工具GAMEFISH恶意软件的感染。


利用“永恒之蓝”和Responder将恶意软件传播到本地网络

黑客随后会使用这款恶意软件下载并运行“永恒之蓝”和开源的Responder工具。这两种工具均有利于黑客攻击其它本地酒店IT系统。“永恒之蓝”能让黑客通过不安全的SMB服务传播,而Responder利用NetBIOS命名服务 (NBT-NS) 投毒来实现同样目的。

火眼在一份名为《APT 28攻击酒店行业 威胁旅客安全》的报告中指出,“APT 28利用这种方法窃取用户名和哈希密码,从而在受害者网络升级权限”。


酒店WiFi网络成国家黑客眼中的“香饽饽”

安全专家表示,黑客尤其对控制酒店的guest WiFi网络感兴趣。其背后的原因就是黑客能利用酒店的WiFi网络实施中间人攻击,从而推送恶意软件或拦截目标guest的流量。

这是APT 28首次使用“永恒之蓝”发动攻击,但并非APT 28首次针对酒店发动的攻击。2016年也发生了类似事件。受害者在连接到一个酒店WiFi网络后遭攻陷。距受害者首次连接到公共WiFi网络的12小时后,APT 28通过被盗凭证登录到机器。这12个小时可用于在脱机状态下破解哈希密码。成功访问机器后,攻击者将工具部署到机器上,随后通过受害者网络进行传播,并访问受害者的OWA账户。登录源自同一子网的计算机上,说明攻击者的机器物理接近受害者并位于相同的WiFi网络。我们无法证实首个凭证是如何在2016年的事件中被盗的,但在入侵过程中Responder得到部署。由于Responder工具能让攻击者从网络流量中嗅探密码,因此被盗凭证可能是Responder通过酒店WiFi网络获取的。

APT 28并非首个针对WiFi网络的网络监控组织。DarkHotel组织才是首个执行此类攻击的组织,这一点从该组织的命名就可看出。DarkHotel在2011年至2016年一直实施此类攻击。另外,Duqu组织在2015年利用相同技术监控参加伊朗核谈判交易的在酒店住宿的参加人员。

(完)