Хакерская группировка Fancy Bear, или APT28, которую мировые СМИ нередко называют «прокремлевской» и обвиняют в атаке на американские президентские выборы, снова вышла из тени. На этот раз целью киберпреступников стали объекты гостиничного бизнеса — с помощью фишинговых e-mail злоумышленники получают доступ к внутренней системе отеля, контролирующей Wi-Fi-сети.
Как сообщают исследователи группы FireEye, обнаружившие угрозу, от действий Fancy Bear уже пострадали по меньшей мере семь европейских и один ближневосточный отель. При взломе хакеры используют эксплойт Windows под названием EternalBlue — тот самый, который помог осуществить кибератаки вирусами WannaCry и Petya.
EternalBlue продолжает вредить
С помощью эксплойта, выложенного в общий доступ группировкой Shadow Brokers, хакеры крадут личные данные постояльцев отелей через Wi-Fi. Атака начинается с фишингового электронного письма, содержащего зараженный файл Microsoft Word, который называется «Hotel_Reservation_Form.doc».
Внутри документа находится макрос, который запускает установку вредоносной программы GameFish — ее называют визитной карточкой Fancy Bear.
Таким образом, FireEye приписывает атаку известной группировке «со средним уровнем уверенности».
Когда GameFish попадает в сеть, он использует EternalBlue, чтобы обнаружить компьютеры, контролирующие и гостевой, и внутренний Wi-Fi отеля. После того как зловред получает контроль над системой, он перехватывает все логины и пароли, передаваемые по беспроводному соединению.
Эксперты FireEye отмечают, что атака направлена на всю систему Wi-Fi целиком, но может быть инициирована ради данных конкретных гостей — ранее члены правительств и известные бизнесмены уже становились целями Fancy Bear. Представитель компании Бен Рид подтвердил Motherboard, что хакеры атаковали популярные сетевые отели, в которых «можно ожидать наличие выдающихся постояльцев», но отказался раскрыть личности пострадавших.
Техника хакерской группировки также эксплуатирует однофакторную идентификацию в сети — двухфакторная идентификация, например, при вводе пароля и последующем подтверждении с помощью специального кода или смартфона, затрудняет доступ к данным для злоумышленников.
FireEye напомнила, что публичные сети Wi-Fi представляют собой значительную угрозу безопасности данных и рекомендуют избегать их использования «когда это возможно».
Кроме того, эксплойт EternalBlue все еще находится в открытом доступе и уже был использован в двух мировых кибератаках. Он может быть опасен в руках хакеров-одиночек, но при использовании крупными группировками, спонсируемыми государством, может принести еще больший вред.
Что случается в отелях — попадает к хакерам
Исследователи по кибербезопасности заявляют, что хакерские атаки на отели в основном направлены на постояльцев, а не на индустрию. Зачастую бизнесмены проводят финансовые операции, находясь вне «домашнего» офиса, а во время деловых поездок в гостинице — в личном номере или конференц-центре, но при этом они не всегда знают о возможных рисках утечки.
Fancy Bear были не первыми хакерами, нацелившимися на отели. Ранее южнокорейская группировка Fallout Team запустила целую кампанию по кибершпионажу, которая получила название DarkHotel. Они точно так же заражали Wi-Fi-сети в отелях Азии и выискивали одиночные цели, представляющие интерес.
«Несмотря на то что атаки Fallout Team напоминают то, что делает Fancy Bear, это два отдельных актора, действующих в рамках национальных интересов своих государств-спонсоров», — заявила в интервью изданию ZDnet старший аналитик FireEye Кристиана Брафман Киттнер.
Киттнер добавила, что эти две группировки действуют по-разному — южнокорейские хакеры маскируют зловред под обновления софта, а Fancy Bear получают пароли напрямую из Wi-Fi-трафика.
В 2015 году была проведена еще одна хакерская атака с участием отелей — тогда вирус Duqu 2.0 распространился в гостиницах, в которых остановились участники переговоров по иранской ядерной программе «Группы 5+1».