Проучване: Хакерите на Fancy Bear се научиха да крадат данни през Wi-Fi в хотелите

Руската група започна да прави това преди около година и сега получи достъп до разработките, използвани във вирусите WannaCry и Petya.

Изследователската компания за киберсигурност FireEye установи, че от есента на 2016 г. руската хакерска група Fancy Bear, свързана с хакове в Демократическата партия на САЩ, краде данни от гостите на европейски хотели.

Хакерите се свързват с локален Wi-Fi и пресичат потребителска информация. Според експерти преди около месец групата започва да използва програма за хакерство, за която се твърди, че е създадена от Агенцията за национална сигурност на САЩ. Оттогава броят на хаковете се е увеличил.

Wi-Fi уязвимости

Според експерти на FireEye хакерите Fancy Bear са професионалисти, които работят в тясно сътрудничество със разузнавателните служби към руското министерство на отбраната. През есента на 2016 г. експерти изследваха корпоративния компютър на един от клиентите си и откриха следи от вирус в неговите файлове. Оказа се, че той е стигнал до компютъра чрез Wi-Fi в хотела, където почива жертвата.

12 часа след свързване на потребителя към точката за достъп, освен това неизвестно лице, свързано към Wi-Fi. Той прихвана личните данни на жертвата, за да получи достъп до компютъра й, инсталира вирус и получи достъп до системни данни. През цялото това време, според FireEye, неизвестният е бил в хотела, вероятно следейки отблизо всякакви връзки с уязвимата точка за достъп.

Това несъмнено е новият начин на работа за Fancy Bear. По-таен начин за събиране на информация за хората. Можете просто да седнете и да прихващате Wi-Fi трафик

Как хакерите крадат данни

Във всички случаи хакерите първо са проникнали в системата за сигурност, вероятно използвайки фишинг имейли. След това нападателите пуснаха Eternal Blue на компютъра, което им позволи бързо да поемат контрола върху хотелската система. След това те получиха достъп до местния Wi-Fi. След това беше използвана програмата Responder, която позволява не само да наблюдава потребителите и точките за достъп, но тайно да прихваща техните входни данни и пароли.

Във всички случаи хакерите са атакували само скъпи хотели - главно тези, в които отсядат бизнесмени или дипломати. Не е известно дали са хакнали конкретни потребители или техните атаки са хаотични. Експертите предполагат, че нападателите могат да тестват само програмата и следователно до момента са регистрирани относително малко атаки.

Констатации от изследванията

Неслучайно FireEye свързва хотелските хакове с Fancy Bear. Експертите се основават на програмите GameFish и XTunnel, които се считат за плод на идеята на руските хакери. Експертите записаха следи от двете програми на атакуваните компютри. Освен това компанията заяви, че съществува някаква информационна връзка между жертвите, която е заинтересувала нападателите. Организацията за киберсигурност не разкрива същността на тези данни, позовавайки се на нейната поверителност.

Ако Fancy Bear наистина е замесен в хакерството, това ще бъде първият потвърден случай на руски хакери, използващи американски разузнавателни служби. Украинските власти обаче вече обвиниха Русия за разпространение на вируса Petya през пролетта на 2017 г. Той също така използва експлоата на Eternal Blue.

Киберспециалистите отчасти се съгласяват с тези обвинения. ESET смята, че групите TeleBots или Sandworm са виновни за разпространението на вируса, който масово осакати инфраструктурата на Украйна, Русия и западноевропейските държави през пролетта на 2017 г. А FireEye от своя страна свързва тези организации с Русия. В същото време се отбелязва, че за еднозначно заключение на тези данни това не е достатъчно.

Случаят с Fancy Bear обаче далеч не е единственият, когато гости на скъпи хотели са били ударени от хакер. През 2014 г. неизвестни лица вече са атакували устройствата на клиенти на хотели, като са открили уязвимост в Wi-Fi точките. Тогава експертите свързват атаката със специалните служби на Южна Корея.

Основната разлика между това и настоящото хакване се крие в мотивите на нападателите. През 2014 г. хакери нападнаха хора, за които се смята, че имат достъп до правителствени данни от САЩ, Индия, Япония и Северна Корея. В случая с настоящия хак все още не се знае кои са станали негови жертви.

Но дори и освен възможните политически мотиви за хакване, проучването FireEye служи като напомняне за опасностите от отворените горещи точки. Експертите предупредиха, че с помощта на нови разработки хакерите от Fancy Bear или други натрапници могат да прихващат потребителски данни, дори ако той използва VPN.

Експертите посъветваха всички пътуващи да не използват обществен Wi-Fi в хотелите, тъй като сега е невъзможно да сме сигурни, че данните на гостите не са прихванати от хакери.