جاسوسان سایبری با استفاده از ابزارهای هک منتشر شده NSA از مهمان های هتل ها جاسوسی می کنند

هم رسان: یک گروه جاسوسی سایبری روسی بدنام پایه گذاری شده است که از ابزار هک فاش شده NSA که پیش از این در راه اندازی WannaCry و NotPetya نیز به کار رفته بود، برای هک شبکه های وای فای استفاده می کند تا از مهمان های هتل های چندین کشور اروپایی جاسوسی به عمل آید.

به گزارش پایگاه خبری هم رسان به نقل از هکرنیوز ، محققان امنیتی FireEye به تازگی یک کمپین هکری جدید را کشف کرده اند که اطلاعات مربوط به مهمان های رده بالای هتل های اروپایی را از راه دور و از طریق شبکه های این هتل ها به سرقت می برند و در اختیار گروه هکری Fancy Bear قرار می دهند.
Fancy Bear – که همچنین بانام های APT28، Sofacy، Sednit و Storm شناخته می شود – یک گروه هکری است که فعالیت خود را از سال 2007 تا کنون شروع کرده است و متهم به هک کردن کمیته ملی دموکراتیک (DNC) و کمپین کلینتون با هدف تحت تأثیر قرار دادن انتخابات ریاست جمهوری ایالات متحده شده است.
این کمپین به تازگی شناسایی شده همچنین از اکسپلویت Windows SMB تحت عنوان EternalBlue سوء استفاده می کند که یکی از معدود اکسپلویت هایی است که گفته می شود آژانس امنیت ملی آمریکا برای نظارت استفاده می کرده است و توسط گروه Shadow Brokers در ماه آوریل منتشر شده است.
EternalBlue یک آسیب پذیری امنیتی است که از یک نسخه از پروتکل شبکه SMBv1 ویندوز برای گسترش در سرتاسر شبکه ها استفاده می کند؛ این آسیب پذیری به باج افزارهای WannaCry و Petya این امکان را می داد تا در سرتاسر دنیا به سرعت منتشر شوند.
از آنجایی که EternalBlue در دسترس همه قرار دارد و می توانند از آن استفاده کنند، جنایتکاران سایبری به سختی در تلاش هستند تا از این اکسپلویت برای قدرتمند تر کردن بدافزار خود استفاده کنند.
هفته گذشته محققان یک نسخه جدید از تروجان بانکی TrickBot را که اطلاعات را به سرقت می برد ، شناسایی کردند که از SMB برای انتشار بدافزار در شبکه های محلی استفاده می کرد، البته این تروجان در آن زمان از EternalBlue استفاده نمی کرد.
به هر حال محققان در حال حاضر افرادی را یافته اند که از این اکسپلویت برای توسعه بیشتر حملات خود استفاده می کنند.
محققان FireEye می نویسند:” APT28 برای انتشار در شبکه هتل ها از یک نسخه از اکسپلویت EternalBlue SMB استفاده می کند. این اولین باری است که می بینیم APT28 در نفوذ های خود به این اکسپلویت متوسل شده است.”
محققان حملات در حال پیشرفتی را شناسایی کرده اند که تعدادی از شرکت های موجود در بخش هتل داری و از آن جمله هتل های حداقل هفت کشور اروپایی و یک کشور خاورمیانه را مورد هدف قرار داده اند.

نحوه اجرای حملات
مهاجمان کار خود را با یک ایمیل spear phishing شروع می کنند و این ایمیل را به یکی از کارکنان هتل ارسال می کنند. این ایمیل حاوی یک سند مخرب با نام “Hotel_Reservation_Form.doc” است که از ماکروها برای رمزگشایی و اجرای GameFish، همان بدافزار معروف مورد استفاده توسط Fancy Bear ، استفاده می کند.
زمانی که GameFish بر روی شبکه هتل مورد نظر نصب می شود، از اکسپلویت EternalBlue SMB برای توزیع در سرتاسر شبکه هتل و فایل سیستم هایی که شبکه های وای فای داخلی و مهمان را کنترل می کنند استفاده می کند.
زمانی که این شبکه ها تحت کنترل بدافزارها در آمدند، بدافزار ابزار تست نفوذپذیری منبع باز Responder را برای آلوده کردن NetBIOS Name Service (NBT-NS)به کار می برد تا اطلاعات ارسال شده از طریق شبکه بی سیم را سرقت کنند.
اگرچه گروه هکری حملات خود را در شبکه هتل ها انجام می دهند، اما محققان معتقدند که این گروه می تواند مستقیما مهمانان رده بالای هتل و به طور کلی مسئولین دولتی و تجاری مسافر در یک کشور خارجی را مورد هدف قرار دهند.
محققان نمونه ای از این رویداد را در سال 2016 کشف کردند که در آن گروه Fancy Bear پس از گذشت 12 ساعت از اتصال مهمان یک هتل اروپایی به شبکه وای فای هتل توانست یه کامپیوتر و حساب کاربری Outlook Web Access (OWA) این قربانی دسترسی پیدا کند.
این تنها حمله ای نیست که ظاهرا مهمانان هتل ها را مورد هدف قرار داده اند. پیش از این Fallout Team گروه هکری کره جنوبی (که با عنوانDarkHotel نیز شناخته می شود) نیز به چنین حملاتی در برابر هتل های آسیایی دست زده بود تا بتوانند اطلاعات مهم مدیران ارشد شرکت های جهانی بزرگ را طی سفرهای تجاری شان به سرقت ببرند.
همچنین بدافزار Duqu 2.0 نیز شبکه های وای فای هتل های اروپایی که شرکت کنندگان حاضر در مذاکرات هسته ای ایران از آنها استفاده می کردند را مورد هدف قرار داد. همچنین این امکان وجود دارد که هکر ها به لپ تاپ و یا سایر دستگاه های الکترونیکی افراد برجسته بازدیدکننده چین و روسیه نیز نفوذ کنند.
اما راحت ترین راه برای در امان ماندن این است که از اتصال به شبکه های وای فای هتل ها یا مکان های دیگر و یا شبکه های نا امن خودداری کنید و در عوض برای دسترسی به اینترنت از هات اسپات دستگاه موبایل خود استفاده کنید.