Kaspersky reporta sobre las actividades de DarkHotel

Kaspersky Lab, una organización que desarrolla sistemas de seguridad informática, ha estado reportando las actividades de DarkHotel, una organización de cibercriminales que ha infectado las redes wifi de diversos hoteles para atacar las computadoras de los empresarios que se hospeden allí. Cuando las víctimas se conectaron a la internet inalámbrica de su hotel y aceptaron el aviso de que su aplicación de Adobe Systems debía ser actualizada, en realidad recibieron en sus computadoras un código malicioso.

Los atacantes son tan sofisticados que suben el software malicioso al servidor del hotel días antes de que la víctima se hospede allí, y luego lo eliminan varios días después de que la víctima deja el hotel. Finalmente, el software malicioso no se activa inmediatamente, sino que permanece inactivo en el dispositivo infectado durante seis meses antes de completar el ataque. DarkHotel ha estado activo al menos desde 2007, realizando ataques a víctimas específicas que se hospedan en hoteles de lujo principalmente en Asia.

Costin Raiu, director del Equipo de Investigación y Análisis Globales de Kaspersky, asegura que DarkHotel «se vuelve cada día más grande. Atacan [sic] cada vez más hoteles». Aunque la mayoría de los hoteles se encuentran en Asia, algunos también están ubicados en EE. UU.

Los ataques, dirigidos principalmente a ejecutivos, consisten en una sofisticada extracción de datos que afecta tanto los documentos contenidos en sus dispositivos electrónicos como lo que digitan con los teclados. También han logrado jaquear firmas digitales débiles para generar certificados de autoridad falsos para poder validar su software malicioso, haciéndolo pasar por software legítimo.

«Obviamente no estamos tratando con un atacante promedio», continúa Raiu. «Es un atacante de altísimo nivel de amenaza. Su habilidad para registrar digitaciones a nivel de kernel es poco común, la ingeniería inversa del certificado […] eso les coloca [sic] en una categoría especial. [Sus objetivos son] todas las naciones nucleares de Asia. Sus objetivos están relacionados con lo nuclear, pero también han [sic] atacado la base de la industria militar en los Estados Unidos y ejecutivos importantes de todo el mundo en todos los sectores relacionados el desarrollo y las inversiones económicos». Recientemente, DarkHotel ha aumentado sus ataques contra la industria militar estadounidense.

DarkHotel ataca a víctimas hospedadas en hoteles de lujo.

Los atacantes han contado con cerca de doscientos servidores de comando y control para realizar sus operaciones. Kaspersky ha logrado desactivar veintiséis de sus dominios e incluso ha obtenido acceso a algunos de sus servidores, donde encontraron registros sin protección donde se identifican a miles de sistemas infectados.

DarkHotel desactivó gran parte de su infraestructura de comandos en octubre, posiblemente debido al descubrir que los investigadores de Kaspersky los estaban rastreando. «Hasta donde puedo ver, fue un apagón de emergencia. Creo que hubo mucho pánico al respecto», comentó Raiu.

Los investigadores subrayan que una variante del software malicioso utilizado por los atacantes fue diseñado para apagarse a sí mismo si el idioma de las máquinas infectadas es coreano, y que su código contiene caracteres coreanos y aparentemente está relacionado con un cierto programador de Corea del Sur. Además de esto, el alto grado de sofisticación indica que DarkHotel probablemente sea una campaña de una nación, lo que hace muy posible que se trate de una actividad del estado surcoreano, el cual irónicamente es un aliado de EE. UU.

Kaspersky ha detectado ataques de DarkHotel principalmente en Japón, Taiwán, China, Rusia y Corea del Sur; pero también en los Estados Unidos, los Emiratos Árabes Unidos, Singapur, Kazajistán, Filipinas, Hong Kong, India, Indonesia, Alemania, Irlanda, México, Bélgica, Serbia, Albania, Pakistán, Grecia e Italia.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Imagen: Ksl.communications, Deluxe harbour view room, CC BY-SA 3.0

Fuentes: «DarkHotel: A Sophisticated New Hacking Attack Targets High-Profile Hotel Guests», «DarkHotel: Indicators of Compromise», «The Darkhotel APT: A Story of Unusual Hospitality», «The DarkHotel APT: A Story of Unusual Hospitality».

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s