«Русские хакеры» из Fancy Bear атаковали десяток европейских гостиниц через бесплатные сети Wi-Fi, используя эксплойт, который помог в создании вируса WannaCry. Эксперты по безопасности не исключают, что злоумышленники могли выбрать своей целью не сам отель, а конкретных постояльцев.
Хакерская группировка Fancy Bear, или APT28, которую мировые СМИ нередко называют «прокремлевской» и обвиняют в атаке на американские президентские выборы, снова вышла из тени. На этот раз целью киберпреступников стали объекты гостиничного бизнеса — с помощью фишинговых e-mail'ов злоумышленники получают доступ к внутренней системе отеля, контролирующей Wi-Fi-сети.
Как сообщают исследователи группы FireEye, обнаружившие угрозу, от действий Fancy Bear уже пострадали по меньшей мере семь европейских и один ближневосточный отель. При взломе хакеры используют эксплойт Windows под названием Eternal Blue — тот самый, который помог осуществить кибератаки вирусами WannaCry и Petya.
EternalBlue продолжает вредить
С помощью эксплойта, выложенного в общий доступ группировкой Shadow Brokers, хакеры крадут личные данные постояльцев отелей через Wi-Fi. Атака начинается с фишингового электронного письма, содержащего зараженный файл Microsoft Word, который называется «Hotel_Reservation_Form.doc».
Внутри документа находится макрос, который запускает установку вредоносной программы GameFish — ее называют визитной карточкой Fancy Bear.
Таким образом, FireEye приписывает атаку известной группировке «со средним уровнем уверенности».
Когда GameFish попадает в сеть, он использует Eternal Blue, чтобы обнаружить компьютеры, контролирующие и гостевой, и внутренний Wi-Fi отеля. После того, как зловред получает контроль над системой, он перехватывает все логины и пароли, передаваемые по беспроводному соединению.
Эксперты FireEye отмечают, что атака направлена на всю систему Wi-Fi целиком, но может быть инициирована ради данных конкретных гостей — ранее члены правительств и известные бизнесмены уже становились целями Fancy Bear. Представитель компании Бен Рид подтвердил Motherboard, что хакеры атаковали популярные сетевые отели, в которых «можно ожидать наличие выдающихся постояльцев», но отказался раскрыть личности пострадавших.
Техника хакерской группировки также эксплуатирует однофакторную идентификацию в сети — двухфакторная идентификация, например, при вводе пароля и последующем подтверждении с помощью специального кода или смартфона, затрудняет доступ к данным для злоумышленников.
FireEye напомнила, что публичные сети Wi-Fi представляют собой значительную угрозу безопасности данных и рекомендуют избегать их использования «когда это возможно».
Кроме того, эксплойт EternalBlue все еще находится в открытом доступе и уже был использован в двух мировых кибератаках. Он может быть опасен в руках хакеров-одиночек, но при использовании крупными группировками, спонсируемыми государством, может принести еще больший вред.
Что случается в отелях — попадает к хакерам
Исследователи по кибербезопасности заявляют, что хакерские атаки на отели в основном направлены на постояльцев, а не на индустрию. Зачастую бизнесмены проводят финансовые операции находясь вне «домашнего» офиса, а во время деловых поездок в гостинице — в личном номере или конференц-центре, но при этом они не всегда знают о возможных рисках утечки.
Fancy Bear были не первыми хакерами, нацелившимися на отели — ранее южнокорейская группировка Fallout Team запустила целую кампанию по кибершпионажу, которая получила название DarkHotel. Они точно так же заражали Wi-Fi-сети в отелях Азии и выискивали одиночные цели, представляющие интерес.
«Несмотря на то, что атаки Fallout Team напоминают то, что делает Fancy Bear, это два отдельных актора, действующих в рамках национальных интересов своих государств-спонсоров», — заявила в интервью изданию ZDnet старший аналитик FireEye Кристиана Брафман Киттнер.
Киттнер добавила, что эти две группировки действуют по-разному — южнокорейские хакеры маскируют зловред под обновления софта, а Fancy Bear получают пароли напрямую из Wi-Fi-трафика.
В 2015 году была проведена еще одна хакерская атака с участием отелей — тогда вирус Duqu 2.0 распространился в гостиницах, в которых остановились участники переговоров по иранской ядерной программе «Группы 5+1».