A Hacking Team – amely “legális kémprogramokat” árul egyes kormányoknak és rendvédelmi szerveknek – fájljainak kiszivárogtatását követően több hackercsoport elkezdte használni rosszindulatú célokra a vállalat eszközeit. Ezek között megtalálhatók az Adobe Flash Playert és a Windowst célzó különféle kihasználó kódok. Közülük egyet a kiberkémkedéssel foglalkozó hírhedt Darkhotel csoport is felvett az eszköztárába.
A Kaspersky Lab fedezte fel 2014-ben a Darkhotel elit hackercsapatot, amely arról vált ismertté, hogy luxusszállodák Wi-Fi hálózatán keresztül feltörte az ott vendégeskedő céges felsővezetők számítógépét. A kiberbűnözők július elejétől a Hacking Team gyűjteményéből megszerzett nulladik napi sérülékenységet használják ki. A Hacking Team fájljaihoz akkor juthattak hozzá, amikor azokat nyilvánosan elérhetővé tették az interneten. Ez nem a csoport által használt egyetlen nulladik napi sérülékenység: becslések szerint az elmúlt néhány évben a Darkhotel féltucatnyinál is több nulladik napi sebezhetőséget támadott az Adobe Flash Playerben, nyilvánvalóan komoly összegeket fordítva fegyverarzenáljának bővítésére. Az idén további földrajzi régiókra terjesztették ki tevékenységüket, miközben továbbra is folytatták célzott adathalász támadásaikat az Észak- és Dél-Koreában, Oroszországban, Japánban, Bangladesben, Thaiföldön, Indiában, Mozambikban és Németországban lévő célpontok ellen.
A biztonsági kutatók új technikákat és tevékenységeket észleltek a Darkhotel csoportnál, amely egy közel nyolc éve aktív, ismert APT (fejlett tartós fenyegetés) szereplő. A 2014-ben és korábban elkövetett támadások esetében a csoport lopott tanúsítványok segítségével és szállodák Wi-Fi hálózatainak a feltörésével juttatott el kémprogramokat áldozatai számítógépére. 2015-ben továbbra is használja eme technikák nagy részét, sőt, a Kaspersky Lab vizsgálatai szerint a rosszindulatú végrehajtható fájlok új variánsait állította harcrendbe a csoport, továbbá pszichológiai trükkökkel és a Hacking Teamtől átvett nulladik napi sérülékenység kihasználásával fertőzi meg a kiszemelt személyek számítógépét. A következő módszereket alkalmazza:
-Lopott tanúsítványok folyamatos használata. Úgy tűnik, a Darkhotel csoport a lopott tanúsítványok egész gyűjteményét tartja fenn, amelyeket a rosszindulatú programok aláírására használ, hogy kicselezze a célgép védelmi rendszerét. A legfrissebb tanúsítványok egy része a Xuchang Hongguang Technology Co. Ltd.-től származik, ennek a cégnek a tanúsítványait használták a Darkhotel korábbi támadásainál is.
-Célzott adathalászat. A Darkhotel APT egy valóban makacs fenyegetés: ha nem jár sikerrel a célzott adathalászat, hónapokkal később újra próbálkozik szinte ugyanazokkal a pszichológiai trükkökkel.
-A Hacking Tean nulladik napi sérülékenységének a kihasználása. A feltört tisone360.com webhely backdoorokat és kihasználó kódokat tartalmaz. A legérdekesebb közülük a Hacking Teamtől származó nulladik napi sérülékenység a Flashben.
Tavaly óta a csoport keményen dolgozik védelmi technikái továbbfejlesztésén: a Darkhotel letöltőjének 2015-ös változata 27 gyártó antivírus technológiáját tudja azonosítani annak érdekében, hogy kijátssza őket.
