Hacker nutzen WannaCry-Exploit für Angriffe auf Hotel-WLANs

Forscher von FireEye haben eine Hacking-Kampagne aufgedeckt, bei der versucht wird, aus der Ferne Anmeldedaten von Nutzern zu stehlen, die WLAN-Netzwerke in Hotels verwenden. Dabei kommt der Windows-Exploit zum Einsatz, den Hacker auch für die Verbreitung der Ransomware WannaCry sowie Petya/NotPetya benutzt haben. Betroffen sind derzeit vor allem Hotels in Europa.

Als Hintermänner vermutet FireEye mit „mäßiger Zuversicht“ eine als APT28 oder auch „Fancy Bear“ bekannte Gruppe, der Verbindungen zum russischen Militärgeheimdienst unterstellt werden. Es sei das erste Mal, dass die Gruppe den als Eternal Blue bezeichneten Exploit eingesetzt habe, der aus dem Fundus des US-Geheimdiensts National Security Agency (NSA) stammen soll und von der Hackergruppe The Shadow Brokers veröffentlicht wurde.

Der Angriff selbst begann mit einer Spear-Phishing-Kampagne auf Hotelketten in mindestens sieben europäischen Ländern sowie einem Land im Nahen Osten. E-Mails mit einem schädlichen Dokument mit dem Titel „Hotel_Reservation_form.doc“ soll Mitarbeiter der Unternehmen dazu verleiten, ein Makro auszuführen, das wiederum die für APT28 typische Malware GameFish einschleust.

Sobald GameFish in einem Netzwerk installiert wurde, nutzt es EternalBlue, um sich im Netzwerk zu verbreiten und Computer zu finden, die für die Verwaltung der internen sowie Gast-WLAN-Netze verantwortlich sind. Sobald diese Rechner unter Kontrolle sind, richtet GameFish ein Open-Source-Tool ein, das den Diebstahl von Anmeldedaten über ein drahtloses Netzwerk erlaubt.

Auch wenn sich die Angriffe jeweils gegen das vollständige Netzwerk eines Hotels richten, geht FireEye davon aus, dass es die Täter auf einzelne Gäste abgesehen haben, beispielsweise auf Geschäftsleute oder Regierungsvertreter, die in den Hotels absteigen. In mindestens einem Fall will FireEye Belege dafür gefunden haben, dass sich die Angreifer sogar in der Nähe ihres Opfers und im selben WLAN-Netz befanden, als sie dessen Rechner kompromittierten. Die Forscher weisen darauf hin, dass der Einsatz einer Anmeldung in zwei Schritten die Übernahme von Nutzerkonten nach dem Diebstahl der Anmeldedaten deutlich erschwert.

Es ist nicht das erste Mal, dass Hacker Hotelgäste ins Visier nehmen. Bereits im Juli hatten Forscher von Bitdefender auf eine ähnliche Kampagne hingewiesen. Sie ordneten diese Aktivitäten in die seit Jahren bekannte, DarkHotel gennanten, den APT28 zugeordneten und recht gut untersuchten Aktivitäten gegen Hotelgäste ein. Laut FireEye gibt es jedoch keine Verbindungen zwischen beiden Vorfällen. Auch technisch seien die Angriffe unterschiedlich. Denn die Hintermänner von DarkHotel hätten ihre Opfer mit gefälschten Softwareupdates ausgetrickst.

FireEye betont zudem, dass öffentliche WLAN-Netze eine erhebliche Bedrohung darstellen können. Sie seien „wann immer möglich zu meiden“.

[mit Material von Danny Palmer, ZDNet.com]