DarkHotel es lo que se conoce como una Amenaza Persistente Avanzada (APT en sus siglas en inglés). Dicha amenaza se hizo famosa por su habilidad para penetrar en las redes wi-fi de hoteles de lujo.
Hasta donde se sabe esta no escoge a sus víctimas al azar y las selecciona entre aquellos ejecutivos que tienen acceso a información con un valor comercial “significativo” en sus respectivas empresas.
Según informó Infosecurity, esta APT ha decidido transitar por nuevos derroteros y llevar a cabo un ataque concreto conocido como Inexsmar como parte de un nuevo proceso de infección orientado esta vez a objetivos políticos.
El ataque conocido como Inexsmar era una muestra de un nuevo proceso de infección orientado a objetivos políticos
Esto se encuentra especificado en un informe de Bitdefender breve y conciso aunque generoso en aspectos técnicos.
Aunque las muestras de dicho ataque analizadas por esta empresa se remontan a septiembre de 2016, estas guardan grandes similitudes con otras de ataques de DarkHotel que datan de 2011.
En el caso más reciente que hemos mencionado, el troyano se presentó en forma de falso documento de Word denominado exactamente “Pyongyang Directory Group email SEPTEMBER 2016 RC_Office_Coordination_Associate.docx”.
Una vez abierto se puede ver una lista de email que en teoría correspondería a contactos de Pyongyang (Corea del Norte).
También menciona supuestos contactos que estarían ubicados en organismos integrados en el sistema de la ONU como la FAO, Programa de Naciones Unidas para el Desarrollo, Unicef y Programa Mundial de Alimentos.
Con la habitual prudencia que caracteriza generalmente a los analistas de ciberseguridad, en el informe no establecen una conexión cien por cien fiable entre Inexsmar y DarkHotel aunque sí hablan de una atribución que se puede hacer con un “amplio margen de seguridad”.
El empleo de exploits de Día Cero, de certificados digitales robados, y la encriptación en distintas capas son algunos de los “hitos” que según Bitdefender ha ido alcanzando DarkHotel a lo largo de una década.
Emplearon ‘exploits’ de Día Cero y certificados digitales robados, entre otros recursos
Esto, junto con la capacidad del malware para permanecer en el sistema, ha hecho que se pueda mantener actualizado y, por tanto, a la altura de las barreras que las mejoras en seguridad han ido poniendo ante los atacantes.
Una información publicada en Wired en 2014 recogía unas valoraciones de la empresa antivirus Kaspersky. Fueron ellos, de hecho, quienes denominaron DarkHotel a esta APT que, aseguraban entonces, llevaba activa desde 2007.
La compañía aseguró que desde esos inicios hasta ese mismo año, 2014, DarkHotel llevó a cabo ataques con precisión “quirúrgica” y coincidió con Bitdefender en que eran absolutamente selectivos.
Kaspersky aseguró que BlackHotel llevaba operando desde 2007
Eso sí, Kaspersky circunscribió los ataques a hoteles de lujo ubicados en Asia, aunque también habló de algunos afectados en Estados Unidos.
Infectaban dispositivos por el procedimiento del spear-phishing y a través de redes P2P.
Cuando el objetivo se había instalado y trataba de conectarse a la red wi-fi del hotel donde se alojaba, salía en su dispositivo una ventana emergente que le instaba a actualizar Adobe.
Si pinchaba para actualizar el software, lo que hacía era iniciar el proceso que llevaría a la ejecución del malware.
Previamente los atacantes habían conseguido infiltrarse varios días antes en la red, esperando a que el objetivo se registrara en el hotel, terminara de acomodarse en su habitación y se conectara.
Los atacantes engañaban a la víctima con una ventana emergente que lo instaba a actualizar Adobe
Cuando el huésped afectado dejaba la habitación libre, los intrusos cibernéticos se encargaban de borrar concienzudamente todas las pistas que pudieran llevar al malware utilizado.
Este fue uno de los factores que impidieron a quienes gestionaban las redes wi-fi de los hoteles determinar con más precisión cuántos de estos establecimientos habían sido atacados.
A pesar del perfil del tipo de víctima de estos ataques elaborado por las distintas empresas de ciberseguridad, tanto Kaspersky como quienes gestionaban las redes de los hoteles no tuvieron acceso alguno a las identidades de los huéspedes.
Lo sofisticado de los ataques de esta APT llevaron a Wired a admitir lo difícil que resultaba poder aconsejar cómo protegerse de algo así.
Aunque alguien revise bien las alertas de las ventanas emergentes y vaya a la web original de la empresa para ver si efectivamente hay una actualización disponible, esto no servirá de mucha ayuda si los atacantes han podido redirigir nuestro dispositivo a un sitio malicioso de descargas.
