Forscher von FireEye haben eine Hacking-Kampagne aufgedeckt, bei der versucht wird, aus der Ferne Anmeldedaten von Nutzern zu stehlen, die WLAN-Netzwerke in Hotels verwenden. Dabei kommt der Windows-Exploit zum Einsatz, den Hacker auch für die Verbreitung der Ransomware WannaCry sowie Petya/NotPetya benutzt haben. Betroffen sind derzeit vor allem Hotels in Europa.
Der Angriff selbst begann mit einer Spear-Phishing-Kampagne auf Hotelketten in mindestens sieben europäischen Ländern sowie einem Land im Nahen Osten. E-Mails mit einem schädlichen Dokument mit dem Titel „Hotel_Reservation_form.doc“ soll Mitarbeiter der Unternehmen dazu verleiten, ein Makro auszuführen, das wiederum die für APT28 typische Malware GameFish einschleust.
Sobald GameFish in einem Netzwerk installiert wurde, nutzt es EternalBlue, um sich im Netzwerk zu verbreiten und Computer zu finden, die für die Verwaltung der internen sowie Gast-WLAN-Netze verantwortlich sind. Sobald diese Rechner unter Kontrolle sind, richtet GameFish ein Open-Source-Tool ein, das den Diebstahl von Anmeldedaten über ein drahtloses Netzwerk erlaubt.
Auch wenn sich die Angriffe jeweils gegen das vollständige Netzwerk eines Hotels richten, geht FireEye davon aus, dass es die Täter auf einzelne Gäste abgesehen haben, beispielsweise auf Geschäftsleute oder Regierungsvertreter, die in den Hotels absteigen. In mindestens einem Fall will FireEye Belege dafür gefunden haben, dass sich die Angreifer sogar in der Nähe ihres Opfers und im selben WLAN-Netz befanden, als sie dessen Rechner kompromittierten. Die Forscher weisen darauf hin, dass der Einsatz einer Anmeldung in zwei Schritten die Übernahme von Nutzerkonten nach dem Diebstahl der Anmeldedaten deutlich erschwert.
Es ist nicht das erste Mal, dass Hacker Hotelgäste ins Visier nehmen. Bereits im Juli hatten Forscher von Bitdefender auf eine ähnliche Kampagne hingewiesen. Sie ordneten diese Aktivitäten in die seit Jahren bekannte, DarkHotel gennanten, den APT28 zugeordneten und recht gut untersuchten Aktivitäten gegen Hotelgäste ein. Laut FireEye gibt es jedoch keine Verbindungen zwischen beiden Vorfällen. Auch technisch seien die Angriffe unterschiedlich. Denn die Hintermänner von DarkHotel hätten ihre Opfer mit gefälschten Softwareupdates ausgetrickst.
FireEye betont zudem, dass öffentliche WLAN-Netze eine erhebliche Bedrohung darstellen können. Sie seien „wann immer möglich zu meiden“.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
[mit Material von Danny Palmer, ZDNet.com]
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…