Kaspersky Labによると、ホテル宿泊者を標的にした攻撃「Darkhotel」が発見されたとの事です。
この攻撃者は少なくとも4年前からスパイ活動を続けており、アジア太平洋地域の高級ホテルに宿泊する企業のエグゼクティブ、研究開発部門や営業・マーケティング部門の責任者を主な標的とし、企業の機密情報を搾取しています。Darkhotelは現在も活動する極めて巧妙な標的型攻撃であり、感染すると高いリスクにさらされる
というもので、具体的には、
標的となった人物のマシンが感染した場合は、その中に保存されている企業の知的財産といった機密情報が盗まれます。
との事で、標的を定めた、かなり高度なサイバースパイの情報奪取ツールのような働きをするようです。
攻撃者は、
- エグゼクティブが宿泊するような高級ホテルのネットワークにDarkhotelを潜ませ、
- ホテルのWiFiネットワークに接続し、
- 標的がネットワークにログインしたのを確認してから、
- 正規ソフトウェアのアップデートをすすめ、
- バックドアのインストーラーをインストールさせ、
- このツールも用いてターゲットの機密情報を盗む
という流れです。
インストールされるツールには、
システムと導入されているセキュリティソフトの情報を収集する「Karba」というトロイの木馬やデジタル署名された巧妙なキーロガーが含まれるほか、Firefox、Chrome、Internet Explorerといったブラウザーに保存されているパスワードやGmail Notifier、Twitter、Facebook、Yahoo!、Googleなどのログイン情報をはじめとした個人情報を窃取するモジュールも備えて
いるようです。
しかも、
攻撃が完了すると、攻撃者は利用したツール類をホテルのネットワークから取り除き、そのまま潜んで次の標的が現れるのを待ちます
との事。
ちなみに、上記サイトには、追加情報として、
解析されたマルウェアのコードから、攻撃者が韓国語を話す人物であることが特定されています。
との記載もあります。
しかも、Securelist.com資料によれば、この攻撃の一番のターゲットは下図の様に日本らしいです。
防御策として、出されているのは、
- 公共のWi-Fiやそれに準ずるものにアクセスする際は、信頼できるVPN接続を使用する
- 旅先でのソフトウェア更新には常に警戒し、インストール時には適切なベンダーが保障したインストーラーであることを確認する
- 質の高いインターネットセキュリティソフトウェアを選び、基本的なアンチウイルス保護だけでなく、新たな脅威に事前に対処できる製品をインストールする
との事。
高級ホテルであっても、ネットワークに関しては、決して安全ではないという怖い情報です。
(標的とされるようなエグゼクティブの場合ですが…)