www.onemagazine.es
La industria hotelera, nuevo objetivo del grupo ruso APT28
Ampliar
(Foto: Fotograma 'El gran Hotel Budapest')

La industria hotelera, nuevo objetivo del grupo ruso APT28

Este grupo ruso de hacker, llamado APT28, ha atacado a hoteles de al menos siete países europeos y uno en un país de Oriente Medio. Además, el objetivo principal del grupo ruso son los clientes del hotel más que la propia empresa hotelera.

FireEye ha detectado una campaña, atribuida con bastante probabilidad al grupo ruso APT28, cuyo objetivo es el sector hotelero. Se cree que esta actividad, que al menos se remonta a julio de 2017, tenía la intención de atacar a viajeros de hoteles en toda Europa y Oriente Medio. El grupo ha usado varias técnicas notables en estos incidentes como rastrear contraseñas desde el tráfico de la red Wi-Fi, envenenar el Servicio de asignación de nombres de NetBIOS (NetBIOS Name Service) y propagarse lateralmente a través de la vulnerabilidad EternalBlue.

FireEye ha descubierto un documento malicioso enviado a principios de julio en correos de phishing a numerosas compañías del sector hotelero, incluyendo hoteles en al menos siete países europeos y uno en un país de Oriente Medio. Si se ejecutaban con éxito las macros contenidas en el documento malicioso, se instalaba un malware de APT28 denominado GAMEFISH.

  • El documento malicioso: Hotel_Reservation_Form.doc (MD5: 9b10685b774a783eabfecdb6119a8aa3), como se muestra en la Imagen 1, contiene una macro que decodifica un ejecutable base 64 que entonces despliega el malware con la firma GAMEFISH de APT28 (MD5: 1421419d1be31f1f9ea60e8ed87277db) que utiliza mvband.nety mvtband.net como dominios de comando y control (C2).


APT28 despliega nuevas técnicas para moverse indirectamente y poder atacar a los viajeros

APT28 está usando técnicas novedosas incluyendo el uso de la vulnerabilidad ETERNALBLUE y Responder (herramienta de código abierto que permite el envenenamiento del Servicio de Asignación de Nombres NetBIOS) para propagarse lateralmente a través de la red y probablemente atacar a los viajeros. Una vez están dentro de la red de una empresa hotelera, APT28 busca máquinas que controlan tanto las redes Wi-Fi internas como las de los huéspedes de los hoteles. No se observó que se robaran contraseñas de los huéspedes en las redes comprometidas de los hoteles, sin embargo, en un incidente distinto ocurrido en otoño de 2016, APT28 consiguió acceso inicial a la red de la víctima con credenciales que le fueron robadas de una red Wi-Fi de un hotel.

Una vez han accedido a esas máquinas conectadas a redes corporativas y de huéspedes, APT 28 despliega Responder. Esta herramienta permite el envenenamiento del Servicio de asignación de nombres de NetBIOS (NBT-NS) que permite robar las contraseñas que se envían a través de la Wi-Fi. Esta técnica escucha las retransmisiones NBT-NS (UDP/137) desde los ordenadores de las víctimas cuando intentan conectarse a los recursos de la red. Una vez se recibe, Responder se hace pasar por un recurso de búsqueda y provoca que desde el ordenador de la víctima se envíe el usuario y la contraseña cifrada a la máquina controlada por el atacante. APT28 emplea esta técnica para robar nombres de usuario y contraseñas cifradas que permiten obtener privilegios en la red de la víctima.

Para propagarse a través de la red de la empresa hotelera, APT28 usa una versión de la vulnerabilidad EternalBlue SMB, que combina con el uso intensivo de py2exe para compilar scripts Python. Esta es la primera vez que hemos visto a APT28 incorporar esta vulnerabilidad a sus intrusiones.

En el incidente de 2016, se comprometió a la víctima al conectarse a la red Wi-Fi de un hotel. Doce horas después de que la víctima se conectara por primera vez a la red Wi-Fi pública disponible, APT28 inició sesión en su equipo con las claves de acceso robadas. Estas 12 horas podrían haber sido utilizadas para descifrar la contraseña cifrada offline. Después de acceder con éxito al equipo, el atacante desplegó herramientas en la máquina, propagándolas lateralmente en la red de la víctima y accediendo a su cuenta OWA (Outlook Web Access). El inicio de sesión se originó en un ordenador en la misma subred, indicando que la máquina atacante estaba cerca físicamente a la de la víctima y en la misma red Wi-Fi.

No podemos confirmar cómo se robaron las contraseñas iniciales, sin embargo, durante la intrusión, se instaló Responder. Como esta herramienta permite a un atacante capturar contraseñas desde el tráfico de la red, podría haberse utilizado en la red Wi-Fi del hotel para conseguir credenciales de los usuarios.

Amenazas de largo recorrido para los viajeros

Las actividades de ciberespionaje contra el sector hotelero se centran habitualmente en recoger información de los huéspedes de interés de los hoteles, más que conseguir datos de la industria hotelera en sí misma, aunque los atacantes también podrían recopilar información del hotel como un medio para facilitar sus operaciones. El personal gubernamental y de empresas que viaja, especialmente a un país extranjero, debe confiar con frecuencia en sistemas distintos de los de sus oficinas locales para llevar a cabo sus negocios y tal vez no estén familiarizados con las amenazas que podrían encontrarse en el extranjero.

APT28 no es el único grupo que tiene como objetivo a los viajeros, la trama surcoreana Fallout Team (también conocida como Darkhotel) ha utilizado actualizaciones de software falsas en redes Wi-Fi infectadas de hoteles de Asia.; el malware Duqu 2.0 ha sido encontrado en redes de hoteles europeos utilizados principalmente por los participantes en las negociaciones nucleares iraníes. Además, fuentes públicas han informado desde hace años que en Rusia y en China los huéspedes de alto nivel de los hoteles pueden esperar que se acceda sus habitaciones y, a su vez, a sus portátiles y otros dispositivos asociados.

Pronóstico e implicaciones

Estos incidentes muestran que APT28 está utilizando un novedoso vector de infección. El grupo está aprovechándose de las redes Wi-Fi menos seguras de los hoteles para robar contraseñas, así como empleando una utilidad de envenenamiento del Servicio de asignación de nombres NetBIOS para escalar credenciales. Las

capacidades y tácticas de amplio espectro de APT28 continúan creciendo y refinándose a medida que el grupo amplía los vectores de infección.

Los viajeros deben estar alerta de las amenazas que pueden encontrar cuando viajan (especialmente al extranjero) y adoptar precauciones adicionales para asegurar sus sistemas y sus datos. Las redes Wi-Fi de acceso público constituyen una amenaza significativa y deberían ser evitadas siempre que sea posible.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)


Normas de uso

Esta es la opinión de los internautas, no de Desarrollo Editmaker

No está permitido verter comentarios contrarios a la ley o injuriantes.

La dirección de email solicitada en ningún caso será utilizada con fines comerciales.

Tu dirección de email no será publicada.

Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.