本周,全球领先的IT安全供应商卡巴斯基实验室率先发现并调查了“黑暗酒店”(Darkhotel)网络间谍活动。该活动已潜伏四年以上,主要攻击在国外出差的企业高管,从而窃取重要的企业信息。根据卡巴斯基实验室的调查,最近一次攻击活动的受害者包括在亚太地区经商与投资的美国和亚洲高管,如首席执行官、高级副总裁、销售总监、市场总监以及高级研发人员。卡巴斯基实验室目前正在与相关机构合作,共同解决这一事故。鉴于该行动仍处于活跃状态,卡巴斯基实验室在此提醒经常出差的企业高管们应采取IT安全措施,谨防遭受此类攻击。
据了解,“黑暗酒店”一般在企业高管逗留奢华酒店期间发起攻击。卡巴斯基实验室的调查显示,攻击者可以有效入侵酒店网络,不断访问那些甚至被公认为机密且安全的系统。他们坐等受害者签到并连接酒店的Wi-Fi网络,在企业高管输入房间号与姓名进行登录后,欺骗其下载并安装一款伪装成合法软件(谷歌工具栏、Adobe Flash或Windows Messenger)更新的后门程序。毫无戒备之心的高管就这样下载了黑暗酒店的间谍软件并遭受感染。
后门程序一旦进入系统会下载更多高级窃取工具,用以收集系统信息与安装在系统中的反恶意软件信息,并窃取所有键盘记录,从而寻找Firefox、Chrome、IE、Gmail Notifier、Facebook、Yahoo与谷歌的登陆信息与其它机密资料。受害者将因此丢失重要信息,如企业的知识产权。此后,攻击者会小心翼翼地将这些工具从酒店网络中清除,继续潜伏其中。
针对此次攻击行动,卡巴斯基实验室首席研究员Kurt Baumgartner表示:“黑暗酒店在过去几年针对知名人士成功发起了多次攻击,其手段和技巧超越了普通的网络犯罪行为。黑暗酒店的幕后攻击者具有高超的运营能力、数学和密码破解攻击能力,能够滥用受信任的商业网络,对特定类型的受害者实施精准的战略攻击。”
然而,黑暗酒店恶意活动并无规律可循:它大范围地传播恶意软件,同时又具有很强的针对性。Kurt Baumgartner对此补充道:“针对性与随意性相混合的攻击活动在高级持续性威胁中已越发常见。这些针对性攻击可以入侵知名的受害者,而僵尸网络式的行动方式则可以大范围地进行监视或执行其它任务。”
鉴于该行动的潜在危害,卡巴斯基实验室建议企业高管采取以下措施:
• 使用VPN访问开放或半开放的Wi-Fi。
• 在外出差时谨慎进行软件更新。请确认被推荐的更新安装程序由正确的供应商提供。
• 确保所安装的网络安全解决方案包含对抗新兴威胁的启发式防御功能,而非仅具有基础反病毒防护功能。卡巴斯基实验室的产品能够检测并成功拦截黑暗酒店组件所使用的恶意程序及其变体。