Подписывайтесь на Газету.Ru в Telegram Публикуем там только самое важное и интересное!
Новые комментарии +

Хакеры грабят постояльцев в отелях

Как хакеры крадут личные данные гостей отелей с помощью EternalBlue

«Русские хакеры» из Fancy Bear атаковали десяток европейских гостиниц через бесплатные сети Wi-Fi, используя эксплойт, который помог в создании вируса WannaCry. Эксперты по безопасности не исключают, что злоумышленники могли выбрать своей целью не сам отель, а конкретных постояльцев.

Хакерская группировка Fancy Bear, или APT28, которую мировые СМИ нередко называют «прокремлевской» и обвиняют в атаке на американские президентские выборы, снова вышла из тени. На этот раз целью киберпреступников стали объекты гостиничного бизнеса — с помощью фишинговых e-mail злоумышленники получают доступ к внутренней системе отеля, контролирующей Wi-Fi-сети.

Как сообщают исследователи группы FireEye, обнаружившие угрозу, от действий Fancy Bear уже пострадали по меньшей мере семь европейских и один ближневосточный отель. При взломе хакеры используют эксплойт Windows под названием EternalBlue — тот самый, который помог осуществить кибератаки вирусами WannaCry и Petya.

EternalBlue продолжает вредить

С помощью эксплойта, выложенного в общий доступ группировкой Shadow Brokers, хакеры крадут личные данные постояльцев отелей через Wi-Fi. Атака начинается с фишингового электронного письма, содержащего зараженный файл Microsoft Word, который называется «Hotel_Reservation_Form.doc».

Внутри документа находится макрос, который запускает установку вредоносной программы GameFish — ее называют визитной карточкой Fancy Bear.

Таким образом, FireEye приписывает атаку известной группировке «со средним уровнем уверенности».

Когда GameFish попадает в сеть, он использует EternalBlue, чтобы обнаружить компьютеры, контролирующие и гостевой, и внутренний Wi-Fi отеля. После того как зловред получает контроль над системой, он перехватывает все логины и пароли, передаваемые по беспроводному соединению.

Эксперты FireEye отмечают, что атака направлена на всю систему Wi-Fi целиком, но может быть инициирована ради данных конкретных гостей — ранее члены правительств и известные бизнесмены уже становились целями Fancy Bear. Представитель компании Бен Рид подтвердил Motherboard, что хакеры атаковали популярные сетевые отели, в которых «можно ожидать наличие выдающихся постояльцев», но отказался раскрыть личности пострадавших.

Техника хакерской группировки также эксплуатирует однофакторную идентификацию в сети — двухфакторная идентификация, например, при вводе пароля и последующем подтверждении с помощью специального кода или смартфона, затрудняет доступ к данным для злоумышленников.

FireEye напомнила, что публичные сети Wi-Fi представляют собой значительную угрозу безопасности данных и рекомендуют избегать их использования «когда это возможно».

Кроме того, эксплойт EternalBlue все еще находится в открытом доступе и уже был использован в двух мировых кибератаках. Он может быть опасен в руках хакеров-одиночек, но при использовании крупными группировками, спонсируемыми государством, может принести еще больший вред.

Что случается в отелях — попадает к хакерам

Исследователи по кибербезопасности заявляют, что хакерские атаки на отели в основном направлены на постояльцев, а не на индустрию. Зачастую бизнесмены проводят финансовые операции, находясь вне «домашнего» офиса, а во время деловых поездок в гостинице — в личном номере или конференц-центре, но при этом они не всегда знают о возможных рисках утечки.

Fancy Bear были не первыми хакерами, нацелившимися на отели. Ранее южнокорейская группировка Fallout Team запустила целую кампанию по кибершпионажу, которая получила название DarkHotel. Они точно так же заражали Wi-Fi-сети в отелях Азии и выискивали одиночные цели, представляющие интерес.

«Несмотря на то что атаки Fallout Team напоминают то, что делает Fancy Bear, это два отдельных актора, действующих в рамках национальных интересов своих государств-спонсоров», — заявила в интервью изданию ZDnet старший аналитик FireEye Кристиана Брафман Киттнер.

Киттнер добавила, что эти две группировки действуют по-разному — южнокорейские хакеры маскируют зловред под обновления софта, а Fancy Bear получают пароли напрямую из Wi-Fi-трафика.

В 2015 году была проведена еще одна хакерская атака с участием отелей — тогда вирус Duqu 2.0 распространился в гостиницах, в которых остановились участники переговоров по иранской ядерной программе «Группы 5+1».

Новости и материалы
«Реал» сменит название стадиона
Президент Панамы переговорит с Трампом о будущем Панамского канала
В аэропорту Казани из-за ограничений задержаны три рейса
Опрошенные россияне назвали оптимальную для себя стоимость вина
Россиянам рассказали, как обезопасить себя от киберугроз в праздничные дни
Эксперт объяснил необходимость отключения WhatsApp на миллионах Android-смартфонов
Мужчины тратят денег на покупки в видеоиграх значительно больше женщин
Эксперты назвали признаки неоригинального iPhone
Стало известно, сколько россияне потратили на покупку подержанных авто за 11 месяцев
Военный эксперт заявил, что ВС России зачищают плацдарм ВСУ южнее Курахово
Глава МЧС назвал зоны риска стихийных бедствий в следующем году
В России рассказали, что ждет Зеленского после СВО
В Британии заявили, что Кураховская ТЭЦ может стать новой «Азовсталью»
Над российскими регионами за ночь сбили 13 украинских беспилотников
Названа причина снижения цены на красную икру
Американский профессор предсказал трудности Европы из-за Трампа
В России раскрыли, как Прибалтика пользуется слабостью НАТО
Два российских аэропорта приостановили работу
Все новости